2022年华为_MA5100 操作手册_02-业务配置01-13 安全特性配置.doc
《2022年华为_MA5100 操作手册_02-业务配置01-13 安全特性配置.doc》由会员分享,可在线阅读,更多相关《2022年华为_MA5100 操作手册_02-业务配置01-13 安全特性配置.doc(16页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、目 录13 平安特性配置13-113.1 概述13-213.2 相关概念13-313.3 设置地址绑定13-413.4 设置最大MAC地址数13-513.5 设置MAC地址老化时间13-613.6 配置防MAC地址欺骗功能13-713.6.1 设置工作形式13-713.6.2 设置MAC地址列表13-813.7 配置PITP协议13-913.7.1 设置PITP功能开关13-913.7.2 设置PITP以太网封装类型13-913.7.3 设置PITP编码格式13-1013.7.4 设置PITP option82功能13-1013.8 设置802.1p优先级门限13-1113.9 设置流量抑制1
2、3-12表格目录表13-1 配置地址绑定相关操作列表13-5表13-2 设置最大MAC地址数相关操作列表13-6表13-3 设置802.1p优先级别门限相关操作列表13-1113 平安特性配置关于本章本章介绍平安特性及其配置操作。本章描绘内容如下表所示。标题描绘13.1 概述介绍以太网业务的平安特性。13.2 相关概念介绍平安特性的相关概念。13.3 设置地址绑定介绍PVC地址绑定的配置操作。13.4 设置最大MAC地址数介绍最大MAC地址数的配置操作。13.5 设置MAC地址老化时间介绍MAC地址老化时间的配置操作。13.6 配置防MAC地址欺骗功能介绍防MAC地址欺骗功能的配置操作。13.
3、7 配置PITP协议介绍PITP协议的配置操作。13.8 设置802.1p优先级门限介绍802.1p优先级门限的配置操作。13.9 设置流量抑制介绍流量抑制的配置操作。13.1 概述业务描绘MA5100以太网业务提供一系列平安特性,有利于运营商提高网络运转的平安。业务规格以太网业务的平安特性包括:l 地址绑定l 最大MAC地址数l MAC地址老化l 防MAC地址欺骗l PITP功能l 802.1p功能l 流量抑制13.2 相关概念地址绑定当PVC设置地址绑定后,这条PVC上只有这个地址的数据帧才合法,其他地址的数据包都被认为是非法而丢弃。MAC地址欺骗假如某个ADSL用户将本人的MAC地址修正
4、为与上层设备一致,则LAN板会将该用户端口当作目的端口,导致所有上行到该上层设备的用户不能上网。数据环网假如两条(或多条)ADSL线路接入同一台HUB上,再通过这台HUB接入多个用户,则其中一条ADSL下行数据到达HUB时将从另一条ADSL线路环回上行。上层设备检测到环路后,会将相应的MA5100/MA5103上行VLAN堵塞掉,从而导致该VLAN下所有用户不能上网。环网上行的数据包包含了上层设备源MAC地址,类似于地址欺骗,能够通过源MAC地址过滤功能统一操纵。PITP协议系统支持PITP(Policy Information Transfer Protocol)协议,通过在PPPoE认证恳
5、求报文中携带用户帐号、物理端口号、MAC地址、VPI/VCI等用户信息,提交BRAS设备验证,处理宽带用户的标识咨询题,实现用户帐号与用户端口的绑定。PITP功能支持两种形式:V形式和P形式,二者互斥。其区别是:l V形式是BRAS设备主动发起用户端口查询。l P形式是MA5100设备主动发起用户端口查询。PITP option82功能用来实现用户DHCP恳求报文认证,通过在DHCP恳求报文中添加物理端口号、MAC地址、VPI/VCI等用户信息,保证合法用户成功获得动态IP。PITP option82处理了DHCP广播过多、DHCP IP耗尽攻击、IP地址欺骗、MAC地址欺骗、用户ID欺骗等平
6、安性咨询题。802.1p系统支持802.1p优先级功能,对上下行数据包进展调度。在上行方向,报文携带优先级信息发送到对端,由对端设备对报文进展优先级业务调度。上行报文的优先级在PVC建立时由priority参数设置。在下行方向,MA5100设置2个优先级队列,依照优先级门限对下行数据进展调度。优先级门限为4时,系统将把优先级为04的下行数据包放入低优先级队列,将优先级为56的下行数据包放入高优先级队列,当下行发生拥塞时系统依照设置的高低优先级进展业务调度。调度时,系统依照高低优先级队列中的报文比率进展,如高低优先级队列报文比率设置为2:1(如高优先级比率为14,低优先级比率为7,则高低比率为2
7、:1),在某时刻,当高优先级队列中报文为3M,低优先级队列中报文为2M,而带宽只有3M时,系统将依照设置的比率,高优先级队列只能传送2M,丢弃1M;低优先级传送1M,丢弃1M。13.3 设置地址绑定目的 把用户IP地址和MAC地址绑定到指定的PVC上。规格一条PVC可绑定IP地址或MAC地址,或者两者同时绑定。设置地址绑定的要求:l LAN板工作形式不能为GENERAL形式。l PVC的源端和目的端不能同时在LAN板上。l 系统最多支持256条PVC对MAC地址进展绑定。l 系统最多支持512条PVC对IP地址进展绑定。l 一条PVC最多可绑定8个IP地址和8个MAC地址。设置地址绑定后用户接
8、入的限制:l 假如只设置了IP地址绑定,则只要用户的IP地址在绑定的范围内,业务就可正常进展;l 假如IP地址和MAC地址都设置了绑定关系,则只有IP地址和MAC地址都在绑定范围内的用户的业务才可正常进展;l 设置了地址绑定的PVC必须取消绑定后才可进展删除操作。考前须知LAN板工作形式为GENERAL时不支持本命令。举例设置1号PVC绑定IP地址10.11.18.1。huawei(config-LAN-0/12)#bind ip1-8000:1:10.11.18.1 Set ip bind successfully.验证结果使用show bind命令查询地址绑定信息。huawei(confi
9、g-LAN-0/12)#show bind cid 1Cutline:*: The IP bound is invalid for board version is low.CID Vlan IP address MAC address- - - - -1 1 10.11.18.1 - - - - - -相关操作配置地址绑定相关操作如表13-1所示。表13-1 配置地址绑定相关操作列表操作命令MAC地址绑定bind mac 删除地址绑定no bind 13.4 设置最大MAC地址数目的 设置LAN板 PVC 可学习的最大MAC地址数,防止出现过多的广播以及恶意攻击。规格系统缺省支持256个MA
10、C地址,最大支持2047个。举例设置1号PVC可学习到的最大MAC地址数为64。huawei(config-LAN-0/13)#max-mac-countpvc,vlan,all:pvc1-8000:11-2047:64 If the max learnable MAC addresses of one PVC to be set less than the learned MAC addresses,some services may be broken.Are you sure to continue?(y/n)n:y Set the max learnable MAC addresses
11、 of PVC successfully.验证结果使用show max-mac-count命令查询最大MAC地址数。huawei(config-LAN-0/13)#show max-mac-countpvc,vlan,all:pvc1-8000:1 CID VLAN ID Learnable MAC addresses - - - 1 11 64相关操作设置最大MAC地址数相关操作如表13-2所示。表13-2 设置最大MAC地址数相关操作列表操作命令查询已经学习到的MAC地址数show mac-count 13.5 设置MAC地址老化时间目的 设置MAC地址老化时间阈值,系统将依照时间阈值老化
12、掉不再使用的MAC地址,即从MAC地址表中删除。规格只有EVMB、MMXV板支持MAC地址老化时间的设置。举例设置MAC地址老化时间为600秒。huawei(config-LAN-0/3)#mac-age10-20000:600 Set the max age of MAC addresses successfully验证结果使用show mac-age命令查询MAC地址老化时间。huawei(config-LAN-0/3)#show mac-age MAC address aging time is: 600 seconds.13.6 配置防MAC地址欺骗功能13.6.1 设置工作形式目的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年华为_MA5100 操作手册_02-业务配置01-13 安全特性配置 2022 年华 _MA5100 操作手册 _02 业务 配置 01 13 安全 特性
限制150内