华为_MA5100(MA5103)操作手册_02-业务配置01-13安全特性配置

目录13 安全特性配置.13-113.1概述.13-213.2相关概念 .13-313.3设置地址绑定 .13-413.4设置最大 MAC 地址数 .13-513.5设置 MAC 地址老化时间 .13-613.6配置防 MAC 地址欺骗功能 .13-713.6.1设置工作模式 .13-713.6.2设置 MAC 地址列表 .13-813.7配置 PITP 协议 .13-913.7.1设置 PITP 功能开关 .13-913.7.2设置 PITP 以太网封装类型 .13-913.7.3设置 PITP 编码格式 .13-1013.7.4设置 PITP option82 功能 .13-1013.8设置 802.1p 优先级门限 .13-1113.9设置流量抑制 .13-12表格目录表 13-1配置地址绑定相关操作列表 .13-5表 13-2设置最大 MAC 地址数相关操作列表 .13-6表 13-3设置 802.1p 优先级别门限相关操作列表 .13-11精品文档你我共享13 安全特性配置关于本章本章介绍安全特性及其配置操作。本章描述内容如下表所示。标题描述13.1概述介绍以太网业务的安全特性。13.2相关概念介绍安全特性的相关概念。13.3设置地址绑定介绍 PVC 地址绑定的配置操作。13.4设置最大 MAC地址数介绍最大 MAC 地址数的配置操作。13.5设置 MAC 地址老化时间介绍 MAC 地址老化时间的配置操作。13.6配置防 MAC 地址欺骗功能介绍防 MAC 地址欺骗功能的配置操作。13.7配置 PITP 协议介绍 PITP 协议的配置操作。13.8设置 802.1p 优先级门限介绍 802.1p 优先级门限的配置操作。13.9设置流量抑制介绍流量抑制的配置操作。AAAAAA精品文档你我共享13.1 概述业务描述MA5100 以太网业务提供一系列安全特性，有利于运营商提高网络运行的安全。业务规格以太网业务的安全特性包括：地址绑定最大 MAC 地址数MAC 地址老化防 MAC 地址欺骗PITP 功能802.1p 功能流量抑制AAAAAA精品文档你我共享13.2 相关概念地址绑定当 PVC 设置地址绑定后，这条 PVC 上只有这个地址的数据帧才合法，其他地址的数据包都被认为是非法而丢弃。MAC 地址欺骗如果某个ADSL 用户将自己的MAC 地址修改为与上层设备一致，则LAN 板会将该用户端口当作目的端口，导致所有上行到该上层设备的用户不能上网。数据环网如果两条（或多条）ADSL 线路接入同一台HUB 上，再通过这台HUB 接入多个用户，则其中一条ADSL 下行数据到达HUB 时将从另一条ADSL 线路环回上行。上层设备检测到环路后，会将相应的MA5100/MA5103上行 VLAN阻塞掉，从而导致该VLAN下所有用户不能上网。环网上行的数据包包含了上层设备源MAC 地址，类似于地址欺骗，可以通过源MAC地址过滤功能统一控制。PITP 协议系统支持PITP （Policy Information Transfer Protocol）协议，通过在PPPoE 认证请求报文中携带用户帐号、物理端口号、 MAC 地址、 VPI/VCI 等用户信息，提交 BRAS 设备验证，解决宽带用户的标识问题，实现用户帐号与用户端口的绑定。PITP 功能支持两种模式：V 模式和 P 模式，二者互斥。其区别是：V 模式是 BRAS 设备主动发起用户端口查询。P 模式是 MA5100 设备主动发起用户端口查询。PITP option82 功能用来实现用户DHCP 请求报文认证，通过在DHCP 请求报文中添加物理端口号、MAC 地址、 VPI/VCI等用户信息，保证合法用户成功获得动态IP。PITP option82 解决了 DHCP 广播过多、 DHCP IP 耗尽攻击、 IP 地址欺骗、 MAC 地址欺骗、用户 ID 欺骗等安全性问题。802.1p系统支持802.1p 优先级功能，对上下行数据包进行调度。在上行方向，报文携带优先级信息发送到对端，由对端设备对报文进行优先级业务调度。上行报文的优先级在 PVC 建立时由 priority 参数设置。在下行方向， MA5100 设置 2 个优先级队列，根据优先级门限对下行数据进行调度。优先级门限为 4 时，系统将把优先级为 0 4 的下行数据包放入低优先级队列，将优先级为 5 6 的下行数据包放入高优先级队列，当下行发生拥塞时系统根据设置的高低优先级进行业务调度。AAAAAA精品文档你我共享调度时，系统根据高低优先级队列中的报文比率进行，如高低优先级队列报文比率设置为 2： 1（如高优先级比率为14，低优先级比率为7，则高低比率为2： 1），在某时刻，当高优先级队列中报文为3M ，低优先级队列中报文为2M ，而带宽只有3M 时，系统将根据设置的比率，高优先级队列只能传送2M ，丢弃 1M ；低优先级传送1M ，丢弃 1M。13.3 设置地址绑定目的把用户 IP 地址和 MAC 地址绑定到指定的PVC 上。规格一条 PVC 可绑定 IP 地址或 MAC 地址，或者两者同时绑定。设置地址绑定的要求：LAN 板工作模式不能为GENERAL模式。PVC 的源端和目的端不能同时在LAN 板上。系统最多支持256条 PVC 对 MAC 地址进行绑定。系统最多支持512条 PVC 对 IP 地址进行绑定。一条 PVC 最多可绑定8 个 IP 地址和 8 个 MAC 地址。设置地址绑定后用户接入的限制：如果只设置了 IP 地址绑定，则只要用户的 IP 地址在绑定的范围内，业务就可正常进行；如果 IP 地址和 MAC 地址都设置了绑定关系，则只有IP 地址和 MAC 地址都在绑定范围内的用户的业务才可正常进行；设置了地址绑定的PVC 必须取消绑定后才可进行删除操作。注意事项LAN 板工作模式为GENERAL 时不支持本命令。举例设置 1 号 PVC 绑定 IP 地址。huawei(config-LAN-0/12)#bind ip1-8000:1:Set ip bind successfully.验证结果使用 show bind 命令查询地址绑定信息。AAAAAA精品文档你我共享huawei(config-LAN-0/12)#show bindcid1Cutline:*: The IP bound is invalid for board version is low.CID Vlan IP addressMAC address- - - -11-相关操作配置地址绑定相关操作如表13-1 所示。表13-1 配置地址绑定相关操作列表操作命令MAC 地址绑定bind mac删除地址绑定no bind13.4 设置最大 MAC 地址数目的设置 LAN 板 PVC 可学习的最大MAC 地址数，防止出现过多的广播以及恶意攻击。规格系统缺省支持256 个 MAC 地址，最大支持2047 个。举例设置 1 号 PVC 可学习到的最大MAC 地址数为 64。huawei(config-LAN-0/13)#max-mac-countpvc,vlan,all:pvc1-8000:11-2047:64If the max learnable MAC addresses of one PVC to be set less than the learnedMAC addresses,some services may be broken.Are you sure to continue?(y/n)n: y Set the max learnable MAC addresses of PVC successfully.验证结果使用 show max-mac-count 命令查询最大MAC 地址数。huawei(config-LAN-0/13)#show max-mac-countpvc,vlan,all:pvc1-8000:1AAAAAA精品文档你我共享CIDVLAN ID Learnable MAC addresses- -11164相关操作设置最大 MAC 地址数相关操作如表13-2 所示。表13-2 设置最大 MAC 地址数相关操作列表操作命令查询已经学习到的 MAC 地址数show mac-count13.5 设置 MAC 地址老化时间目的设置 MAC 地址老化时间阈值，系统将根据时间阈值老化掉不再使用的MAC 地址，即从 MAC 地址表中删除。规格只有 EVMB 、 MMXV板支持 MAC 地址老化时间的设置。举例设置 MAC 地址老化时间为600 秒。huawei(config-LAN-0/3)#mac-age10-20000:600Set the max age of MAC addresses successfully验证结果使用 show mac-age 命令查询MAC 地址老化时间。huawei(config-LAN-0/3)#showmac-ageMAC address aging time is: 600 seconds.AAAAAA精品文档你我共享13.6 配置防 MAC 地址欺骗功能设置工作模式目的设置 MAC 地址欺骗时，系统采用的处理方式。规格防 MAC 地址欺骗工作模式有三种：common：普通模式，系统过滤掉从异常 MAC 地址相应端口发过来的数据包。该模式最多支持 8 个 MAC 地址过滤。该 8 个 MAC 地址可以手动配置，也可以系统自动学习。enhance：增强模式，系统产生MAC 地址异常告警，并去激活相应ADSL 端口。该模式下MAC 地址不需要配置，系统自动学习获得。integrated：综合模式，common 模式与 enhance模式并存。注意事项设置防 MAC 地址欺骗工作模式时需注意：MMXV/EVMB仅支持 common 模式。LAND/EVMA（ IPDSLAM/IPCASCADE）三种模式都支持。举例设置防 MAC 地址欺骗工作模式为普通模式。huawei(config-LAN-0/12)#anti mac-spoofingmode,add,delete:modeoff,common,enhance,integrated:commonSet successfully.验证结果使用 show anti mac-spoofing命令查询防MAC 地址欺骗工作模式。huawei(config-LAN-0/10)#show anti mac-spoofingAnti MAC spoofing mode: commonMAC address number: 5No.MAC addresstype- - -100-00-00-00-00-09static200-00-00-00-00-01static300-00-00-00-00-02static400-00-00-00-00-03staticAAAAAA精品文档你我共享500-e0-fc-10-2d-dcdynamic- - -设置 MAC地址列表目的对于上行设备 MAC 地址， MA5100 可以通过自学习获得（动态） ，也可以进行手工设置（静态）。通过将 MAC 地址列表与 ADSL 用户 MAC 地址进行比较，可以有效防地址欺骗和环网。注意事项设置 MAC 地址仅对 common 模式有效， Enhance 模式下 MAC 地址设置无效（通过自学习获得）。举例增加 MAC 地址 00-00-00-00-00-01 ，当用户仿冒这个地址时，将其数据包过滤掉。huawei(config-LAN-0/10)#anti mac-spoofingmode,add,delete:add:00-00-00-00-00-01Set successfully.验证结果使用 show anti mac-spoofing命令查询 MAC 地址列表，请参见“ 设置工作模式”。AAAAAA精品文档你我共享13.7 配置 PITP 协议设置 PITP 功能开关目的打开或关闭PITP 功能，打开PITP 功能时同时设置PITP 工作模式。注意事项LAN 板工作模式为GENERAL 时不支持本命令。举例打开 PITP 功能，同时设置PITP 工作模式为pmode 模式。huawei(config-LAN-0/12)#pitp switchvmode,pmode,off:pmodeSet PITP protocol successfully.验证结果使用 show pitp 命令查询 PITP 功能是否打开。huawei(config-LAN-0/12)#show pitpPITP protocal switch= PMODEPITP option82= OnPITP code type= CNTel设置 PITP 以太网封装类型目的PITP 采用 V 模式时， PITP 协议的以太网封装类型必须和对端设备相同。注意事项LAN 板工作模式为GENERAL 时不支持本命令。举例设置 PITP V 模式的以太网封装类型。huawei(config-LAN-0/12)#pitp ethertype0x1-0xffff:0x1258Set PITP protocol ethertype successfully.AAAAAA精品文档你我共享验证结果使用 show pitp 命令查询 PITP 协议的以太网封装类型。huawei(config-LAN-0/12)#show pitpPITP protocol switch= VMODEPITP protocol ethertype = 0x1258PITP option82= OnPITP code type= common设置 PITP 编码格式目的设置 PITP 编码格式为common 或 CNtel 格式。注意事项LAN 板工作模式为GENERAL 时不支持本命令。举例设置 PITP 编码格式为CNtel 。huawei(config-LAN-0/12)#pitp code-typecommon,cntel:cntelSet PITP code type successfully.验证结果使用 show pitp 命令查询 PITP 编码格式。huawei(config-LAN-0/12)#show pitpPITP protocol switch= VMODEPITP protocol ethertype = 0x1258PITP option82= OnPITP code type= CNtel设置 PITP option82功能目的打开或关闭PITP option82 功能。举例打开 PITP option82 功能。huawei(config-LAN-0/12)#pitp option82on,off:onSet PITP option82 successfully.AAAAAA精品文档你我共享验证结果使用 show pitp 命令查询 PITP option82 功能是否打开，请参见“ 设置 PITP 编码格式”。13.8 设置 802.1p 优先级门限目的设置数据帧优先级别门限。注意事项设置 802.1p 优先级门限时，需注意：LAN 板工作模式为GENERAL 时不支持本命令。GMII PAUSE开关与 PRIORITY 开关同步打开和关闭。执行该操作前，请先删除当前单板上所有PVC（除 IGMP PVC 外）。举例设置 802.1p 优先级别门限为3。huawei(config-LAN-0/12)#priority0-6:31-15:11-15:2Set successfully.Set GMII PAUSE on automatically successfully.验证结果使用 show priority 命令查询优先级门限。huawei(config-LAN-0/12)#show priorityLAND board:802.1p priority status: On802.1p priority value: 3802.1p low priority ratio: 1802.1p high priority ratio: 2相关操作设置 802.1p 优先级别门限相关操作如表13-3 所示。表13-3 设置 802.1p 优先级别门限相关操作列表操作命令关闭 802.1p 功能no priorityAAAAAA精品文档你我共享13.9 设置流量抑制目的系统对 LAN 板上的广播 /未知单播的流量分别加以限制，以便有效地防止未知用户的恶意攻击和由于大量的广播而引起的网络阻塞。规格系统设置的抑制流量等级有12 种，进行抑制流量设置时，抑制流量等级只能从这12种流量等级中选择。可以通过show traffic-suppress 命令查询抑制流量等级。举例设置广播和未知单播的抑制流量索引为1。huawei(config-LAN-0/12)#traffic-suppressbroadcast,unknown-cast,all:all1-12:1Set traffic suppression of broadcast successfully.Set traffic suppression of unknown-cast successfully.验证结果使用 showtraffic-suppress 命令查询流量抑制信息。huawei(config-VDSL-0/12)#show traffic-suppressTraffic suppression ID definition:NO.Min bandwidth(kbps)Max bandwidth(kbps)Package number(pps)- - -16.1145.712212.3291.424324.6582.948449.21165.895598.32331.61916196.64663.23827393.29326.67638786.418653.1152691572.937306.33052103145.774612.76104116291.5149225.4122071212582.9298450.924414-Current traffic suppression ID of broadcast:1Current traffic suppression ID of unknown-cast:1出师表两汉：诸葛亮AAAAAA精品文档你我共享先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。然侍卫之臣不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。诚宜开张圣听，以光先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路也。宫中府中，俱为一体；陟罚臧否，不宜异同。若有作奸犯科及为忠善者，宜付有司论其刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏，有所广益。将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰“能 ”，是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。亲贤臣，远小人，此先汉所以兴隆也；亲小人，远贤臣，此后汉所以倾颓也。先帝在时，每与臣论此事，未尝不叹息痛恨于桓、灵也。侍中、尚书、长史、参军，此悉贞良死节之臣，愿陛下亲之、信之，则汉室之隆，可计日而待也。臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。先帝不以臣卑鄙，猥自枉屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以驱驰。后值倾覆，受任于败军之际，奉命于危难之间，尔来二十有一年矣。先帝知臣谨慎，故临崩寄臣以大事也。受命以来，夙夜忧叹，恐托付不效，以伤先帝之明；故五月渡泸，深入不毛。今南方已定，兵甲已足，当奖率三军，北定中原，庶竭驽钝，攘除奸凶，兴复汉室，还于旧都。此臣所以报先帝而忠陛下之职分也。至于斟酌损益，进尽忠言，则攸之、祎、允之任也。愿陛下托臣以讨贼兴复之效，不效，则治臣之罪，以告先帝之灵。若无兴德之言，则责攸之、祎、允等之慢，以彰其咎；陛下亦宜自谋，以咨诹善道，察纳雅言，深追先帝遗诏。臣不胜受恩感激。今当远离，临表涕零，不知所言。AAAAAA