日韩在线播放一区,91天天综合日韩丝袜免费观看,亚洲aV无码国产精品久久不卡,黄网在线免费播放

一、組網(wǎng)問題

1、非法報(bào)文洪泛，占用地址表，影響帶寬；

2、網(wǎng)絡(luò)攻擊，使設(shè)備死機(jī)；

3、網(wǎng)絡(luò)存在環(huán)回，形成廣播風(fēng)暴，或使地址表學(xué)習(xí)異常，無法轉(zhuǎn)發(fā)；

4、用戶攻擊（比如arp 攻擊）或病毒等；

二、安全問題

    上述網(wǎng)絡(luò)中存在的問題，目前已成為工程維護(hù)中，最為困擾的部分，特別對(duì)于部分組網(wǎng)存在一些隱患的地區(qū)；就EPON 設(shè)備而言，由于接入用戶量更大，比之一般的寬帶接入設(shè)備，更需要能較好地保護(hù)措施，防止設(shè)備本身受攻擊和用戶業(yè)務(wù)中斷。

基本且必要的措施有：

1.取消vlan 1配置；

2.vlan filter功能；

3.下聯(lián)接口間隔離功能；

4.ACL功能；

5.端口環(huán)回檢測(cè)；

6.mac防遷移（或稱防欺騙/防窺探）；

（一）vlan 1問題

     寬帶交換設(shè)備一般都配置缺省vlan 1，且所有接口都加入vlan 1中，這對(duì)于簡(jiǎn)單的應(yīng)用或剛開始確認(rèn)接口連通性時(shí)，非常方便，但是在電信網(wǎng)絡(luò)中，這種配置目前看來因不受控制，容易引起安全隱患。

網(wǎng)絡(luò)中只要存在一處設(shè)備，沒有進(jìn)行vlan配置，就會(huì)接入vlan 1的報(bào)文（端口缺省在vlan 1中，缺省的端口port vid設(shè)置也是1）。因?yàn)樗性O(shè)備接口都在vlan 1內(nèi)，這個(gè)報(bào)文將在所有設(shè)備中洪泛；可能形成網(wǎng)絡(luò)環(huán)回，引發(fā)廣播風(fēng)暴；

圖6，采用了雙上聯(lián)，本義是想一個(gè)上聯(lián)口走寬帶業(yè)務(wù)，一個(gè)上聯(lián)口走窄帶業(yè)務(wù)，劃分不同vlan，但是如果上聯(lián)的 switch和接入設(shè)備的接口都在vlan 1中，只要有一個(gè)vlan 1的報(bào)文，就會(huì)導(dǎo)致環(huán)回風(fēng)暴，業(yè)務(wù)全阻。

圖7中，兩個(gè)switch，一個(gè)是用來匯聚寬帶業(yè)務(wù)的，一個(gè)是用來匯聚窄帶業(yè)務(wù)的，但是卻在連接上形成了一個(gè)八字環(huán)，同樣如果都存在vlan 1中的話，會(huì)導(dǎo)致環(huán)回風(fēng)暴。

因而，對(duì)于vlan 1這種缺省的傳統(tǒng)配置，需要重新考慮：或者取消這種缺省配置，或者可以通過重新配置，將接口從vlan 1中刪除。

（二）VLAN  FILTER

按照業(yè)務(wù)要求對(duì)vlan嚴(yán)格劃分和配置，是保證二層網(wǎng)絡(luò)安全的基本要求，設(shè)備除了要按照vlan劃分進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)，也需要具備嚴(yán)格控制vlan接入的能力：

按照標(biāo)準(zhǔn)要求，接口可按照vlan接入要求配置為不同模式：

a.hybrid模式：可以同時(shí)接入untagged報(bào)文和vlan tagged報(bào)文；

b.trunk模式：只能接入vlan tagged報(bào)文；

c.access模式：只能接入untagged報(bào)文；

另外，設(shè)備端口應(yīng)拒絕接收該端口未配置的vlan的vlan tagged報(bào)文，即禁止設(shè)備未配置的非法vlan報(bào)文的進(jìn)入。

（三）端口隔離

為了保證安全，不同用戶的不同業(yè)務(wù)，都會(huì)劃分不同vlan。對(duì)于網(wǎng)管，IPTV點(diǎn)播，語音這類業(yè)務(wù)，由于接入點(diǎn)相對(duì)可控，網(wǎng)絡(luò)配置要求，還是會(huì)多個(gè)接入點(diǎn)共享一個(gè)vlan，可能出現(xiàn)異常：

接入終端類型多樣，處理有問題，造成錯(cuò)誤的報(bào)文回應(yīng)或回送：如開啟了dhcp server，對(duì)不處理的報(bào)文回送，造成環(huán)回；二層網(wǎng)絡(luò)內(nèi)節(jié)點(diǎn)過多，mac地址學(xué)習(xí)表占用量大：比如察看一個(gè)olt的上聯(lián)口，可以發(fā)現(xiàn)網(wǎng)管vlan或語音vlan內(nèi)諸多mac地址。因EPON OLT本身接入用戶數(shù)量可能會(huì)很大（40PON口＊16ONU＊20 UNI = 128000)。上聯(lián)口地址學(xué)習(xí)占用比較浪費(fèi)，實(shí)際業(yè)務(wù)并不需要互通，或者是通過上層網(wǎng)關(guān)進(jìn)行互通，不依賴地址表。

安全起見，認(rèn)為下聯(lián)接口間應(yīng)能做到端口隔離，或者更高級(jí)一些，具備PVLAN功能，即接口即使配置在相同vlan內(nèi)，也不互通，或者可根據(jù)vlan選擇性地互通。

上面圖示八字環(huán)的情況，如果交換機(jī)的下聯(lián)接口間可以做到互相隔離，那么也不會(huì)出現(xiàn)環(huán)路?！　　　?/span>

（四）ACL功能

這是一個(gè)比較基本的功能，設(shè)備應(yīng)既能做到基于接口的ACL配置，也能實(shí)現(xiàn)基于管理通道的ACL配置。

EPON組網(wǎng)的特點(diǎn)：通過在olt上聯(lián)口進(jìn)行ACL配置，可以保護(hù)所連接的ONU設(shè)備。

（五）環(huán)路檢測(cè)

1、基本原理    

為了防止由于某個(gè)節(jié)點(diǎn)或組網(wǎng)中存在環(huán)回，可能對(duì)整個(gè)網(wǎng)絡(luò)造成的嚴(yán)重影響，不少設(shè)備都支持了環(huán)路檢測(cè)功能，它的大致原理是：各接口構(gòu)造特殊的環(huán)路檢測(cè)報(bào)文向外發(fā)送（廣播包或組播包），如果接口收到自己發(fā)出的報(bào)文，則說明該接口下存在自環(huán)，如果收到來自其他接口的報(bào)文，說明兩接口間有回路連接。檢測(cè)到問題后，會(huì)進(jìn)行告警，并將問題接口閉塞，以解除環(huán)路。

2、功能局限

環(huán)路檢測(cè)功能的一個(gè)較大的局限性在于只能檢測(cè)到物理連接上的環(huán)路，不能發(fā)現(xiàn)由于終端異常協(xié)議處理造成的特定協(xié)議報(bào)文環(huán)回的情況。

另外環(huán)路檢測(cè)的另一個(gè)較大缺陷是：如果檢測(cè)不當(dāng)，接口被錯(cuò)誤閉塞，或用戶環(huán)路已經(jīng)取消，沒有及時(shí)開啟導(dǎo)致用戶使用收到較大影響。

3、應(yīng)用和建議

實(shí)際應(yīng)用中出現(xiàn)交換機(jī)檢測(cè)到環(huán)路，將其下聯(lián)接口關(guān)閉，使下聯(lián)接入網(wǎng)元上所有用戶無法上網(wǎng)。實(shí)現(xiàn)得較好的環(huán)路檢測(cè)功能，需要能發(fā)現(xiàn)環(huán)路不存在后，將接口自動(dòng)開啟。

建議在最靠近用戶接口的接入設(shè)備上，在用戶接口上啟用環(huán)路檢測(cè)，匯聚設(shè)備上啟用的話，影響面太大。

（六）MAC地址防欺騙

1、基本原理        

或者稱為mac地址防窺探，這也是一個(gè)DSLAM論壇建議的安全措施：用于防止惡意用戶使用特殊工具仿冒其他用戶的mac地址，特別是網(wǎng)關(guān)地址，造成正常用戶無法上網(wǎng)；而仿冒網(wǎng)關(guān)對(duì)于二層交換設(shè)備的結(jié)果是：網(wǎng)關(guān)地址出現(xiàn)在問題用戶接口上，而不是上聯(lián)口，使所有用戶都無法和網(wǎng)關(guān)正常通信，業(yè)務(wù)中斷-----這和用戶接口自環(huán)造成的結(jié)果相同。

2、實(shí)現(xiàn)方法

控制和禁止mac地址在老化時(shí)間內(nèi)遷移，這樣仿冒或環(huán)回的地址不能對(duì)原正常的地址學(xué)習(xí)產(chǎn)生影響，并且相關(guān)的報(bào)文會(huì)被丟棄，使不會(huì)再轉(zhuǎn)發(fā)到上層設(shè)備，對(duì)其產(chǎn)生影響。

需要特別保護(hù)的是上聯(lián)的網(wǎng)關(guān)地址，此時(shí)防遷移設(shè)計(jì)可以做成：上聯(lián)口學(xué)到的地址在老化時(shí)間內(nèi)不能遷移到用戶口，但用戶口學(xué)到的地址在老化時(shí)間內(nèi)可以遷回上聯(lián)口。

防地址遷移一般是防止MAC+VLAN項(xiàng)遷移,但做成按MAC有一定好處，因?yàn)橛脩魝?cè)不同UNI口或PVC打不同PVID,如果其間有環(huán)回，則造成相同MAC，不同VLAN表項(xiàng)的情況，按MAC才能檢測(cè)出來。只是這種檢測(cè)方法對(duì)不同上聯(lián)接口上出現(xiàn)不同vlan，相同網(wǎng)關(guān)MAC的情況，會(huì)誤判，此前出現(xiàn)因?yàn)椴煌下?lián)網(wǎng)關(guān)所使用VRRP MAC相同時(shí)，出現(xiàn)OLT無法轉(zhuǎn)發(fā)的情況，就有這個(gè)原因。

3、使用建議      

不同業(yè)務(wù)能采用不同網(wǎng)關(guān)mac，避免萬一出現(xiàn)問題，各種業(yè)務(wù)的轉(zhuǎn)發(fā)同時(shí)產(chǎn)生問題。

最佳的防遷移的實(shí)現(xiàn)需要一定的芯片級(jí)的支持，否則只能部分依賴軟件實(shí)現(xiàn)，有一定的軟件復(fù)雜度。

一個(gè)簡(jiǎn)單的保護(hù)網(wǎng)關(guān)地址不被欺騙的方法是將網(wǎng)關(guān)地址靜態(tài)綁定在上聯(lián)口，從而杜絕用戶仿冒。

防欺騙的這些措施同樣避免了網(wǎng)絡(luò)環(huán)路造成的問題，并且比環(huán)路檢測(cè)功能更為有效，因?yàn)檫m用性更廣，不單是規(guī)避物理環(huán)回的影響，且反應(yīng)更直接快速。

金錢貓科技