华为_MA5100(MA5103)操作手册_02-业务配置01-13安全特性配置.doc

目 录 13 安全特性配置 13-1 13.1 概述 13-2 13.2 相关概念 13-3 13.3 设置地址绑定 13-4 13.4 设置最大MAC地址数 13-5 13.5 设置MAC地址老化时间 13-6 13.6 配置防MAC地址欺骗功能 13-7 13.6.1 设置工作模式 13-7 13.6.2 设置MAC地址列表 13-8 13.7 配置PITP协议 13-9 13.7.1 设置PITP功能开关 13-9 13.7.2 设置PITP以太网封装类型 13-9 13.7.3 设置PITP编码格式 13-10 13.7.4 设置PITP option82功能 13-10 13.8 设置802.1p优先级门限 13-11 13.9 设置流量抑制 13-12 表格目录 表13-1 配置地址绑定相关操作列表 13-5 表13-2 设置最大MAC地址数相关操作列表 13-6 表13-3 设置802.1p优先级别门限相关操作列表 13-11 安全特性配置 关于本章 本章介绍安全特性及其配置操作。 本章描述内容如下表所示。 标题 描述 13.1 概述 介绍以太网业务的安全特性。 13.2 相关概念 介绍安全特性的相关概念。 13.3 设置地址绑定 介绍PVC地址绑定的配置操作。 13.4 设置最大MAC地址数最大MAC地址数13.5 设置MAC地址老化时间 介绍MAC地址老化时间的配置操作。 13.6 配置防MAC地址欺骗功能 介绍防MAC地址欺骗功能的配置操作。 13.7 配置PITP协议 介绍PITP协议的配置操作。 13.8 设置802.1p优先级门限 介绍802.1p优先级门限的配置操作。 13.9 设置流量抑制流量抑制PVC设置地址绑定后，这条PVC上只有这个地址的数据帧才合法，其他地址的数据包都被认为是非法而丢弃。 MAC地址欺骗 如果某个ADSL用户将自己的MAC地址修改为与上层设备一致，则LAN板会将该用户端口当作目的端口，导致所有上行到该上层设备的用户不能上网。 数据环网 如果两条（或多条）ADSL线路接入同一台HUB上，再通过这台HUB接入多个用户，则其中一条ADSL下行数据到达HUB时将从另一条ADSL线路环回上行。上层设备检测到环路后，会将相应的MA5100/MA5103上行VLAN阻塞掉，从而导致该VLAN下所有用户不能上网。 环网上行的数据包包含了上层设备源MAC地址，类似于地址欺骗，可以通过源MAC地址过滤功能统一控制。 PITP协议 系统支持PITP（Policy Information Transfer Protocol）协议，通过在PPPoE认证请求报文中携带用户帐号、物理端口号、MAC地址、VPI/VCI等用户信息，提交BRAS设备验证，解决宽带用户的标识问题，实现用户帐号与用户端口的绑定。 PITP功能支持两种模式：V模式和P模式，二者互斥。其区别是： V模式是BRAS设备主动发起用户端口查询。 P模式是MA5100设备主动发起用户端口查询。 PITP option82功能用来实现用户DHCP请求报文认证，通过在DHCP请求报文中添加物理端口号、MAC地址、VPI/VCI等用户信息，保证合法用户成功获得动态IP。 PITP option82解决了DHCP广播过多、DHCP IP耗尽攻击、IP地址欺骗、MAC地址欺骗、用户ID欺骗等安全性问题。 802.1p 系统支持802.1p优先级功能，对上下行数据包进行调度。 在上行方向，报文携带优先级信息发送到对端，由对端设备对报文进行优先级业务调度。上行报文的优先级在PVC建立时由priority参数设置。 在下行方向，MA5100设置2个优先级队列，根据优先级门限对下行数据进行调度。优先级门限为4时，系统将把优先级为0～4的下行数据包放入低优先级队列，将优先级为5～6的下行数据包放入高优先级队列，当下行发生拥塞时系统根据设置的高低优先级进行业务调度。 调度时，系统根据高低优先级队列中的报文比率进行，如高低优先级队列报文比率设置为2：1（如高优先级比率为14，低优先级比率为7，则高低比率为2：1），在某时刻，当高优先级队列中报文为3M，低优先级队列中报文为2M，而带宽只有3M时，系统将根据设置的比率，高优先级队列只能传送2M，丢弃1M；低优先级传送1M，丢弃1M。 设置地址绑定 目的 IP地址和MAC地址绑定到指定的PVC上。 规格 PVC可绑定IP地址或MAC地址，或者两者同时绑定。 设置地址绑定的要求： LAN板工作模式不能为GENERAL模式。 PVC的源端和目的端不能同时在LAN板上。 系统最多支持256条PVC对MAC地址进行绑定。 系统最多支持512条PVC对IP地址进行绑定。 一条PVC最多可绑定8个IP地址和