寬帶接入網(wǎng)還是比較常用的，于是我研究了一下寬帶接入網(wǎng)的基礎知識，在這里拿出來和大家分享一下，希望對大家有用。上行方向，因為用戶自組網(wǎng)絡不受控，惡意用戶或者惡意程序就可構造非法協(xié)議報文，向上發(fā)送，這不僅會導致網(wǎng)絡設備處理性能下降，有時還造成網(wǎng)絡設備系統(tǒng)紊亂甚至死機。另外，如果惡意用戶或者程序過量地上行發(fā)送協(xié)議、廣播報文，無論是合法還是非法，同樣會造成系統(tǒng)設備性能明顯下降，因為協(xié)議、廣播等報文的處理非常消耗設備資源。下行方向，盡管處于可控的網(wǎng)絡域內(nèi)，但是因為設備自身穩(wěn)定性問題，以及網(wǎng)絡復雜性問題，也可能會出現(xiàn)非法或者過量報文發(fā)送，也需要進行防范。非法報文包括：

(1)非法源MAC地址報文。源MAC地址不能是廣播或者組播地址，因為有些MAC地址已經(jīng)被標準組織所預留，不能被普通用戶使用。

(2)非法協(xié)議報文。從理論上分析，互聯(lián)網(wǎng)組管理協(xié)議(IGMP)上行方向不可能有詢問(Query)報文，下行方向不可能有報告/離開/加入(Report/Leave/Join)報文；DHCP協(xié)議上行不可能出現(xiàn)提供/確認(OFFER/ACK)報文，下行不可能出現(xiàn)發(fā)現(xiàn)/請求(DISCOVER/REQUEST)報文；PPPoE協(xié)議上行不會有PADO和PADS報文，下行不會有PADI和PADR報文。根據(jù)需要，對這些報文都要攔截過濾。

(3)超長報文、超短報文或者校驗錯報文，如低于64字節(jié)的報文或者大于1 518字節(jié)的報文。特定情況下，超長報文是允許的。

對于非法報文，一般的技術是使用過濾器來過濾丟棄這些報文。過濾器的基本原理是，根據(jù)用戶定義的被過濾數(shù)據(jù)報文的特征，匹配數(shù)據(jù)報文。如果符合預定義的特征，那么過濾掉該報文。當前的交換芯片大都具備報文特征提取和匹配功能，可以完成數(shù)據(jù)鏈路層、網(wǎng)絡層甚至更高層數(shù)據(jù)報文特征信息的提取和匹配。

前面3種過量報文會大量吞噬設備處理資源，第4種會占用交換芯片有限的MAC地址表資源，都需要進行控制。前3種過量報文的處理步驟為：匹配特定類型的報文，特征是：特定的協(xié)議報文、廣播報文(或者某種更具體特征的廣播報文)、組播報文(或者某種更具體特征的組播報文)；統(tǒng)計此類報文的發(fā)送速率；如果發(fā)送速率超過預定義的速率，拋棄報文。處理過量協(xié)議、廣播和組播報文的技術又被稱為報文抑制。解決過量源MAC地址問題比較簡單：可設定用戶側端口MAC地址個數(shù)的上限。這樣，一旦端口達到預定義的MAC地址個數(shù)，后續(xù)帶有新MAC地址的報文一律被丟棄。非法報文和過量報文的處理在寬帶接入網(wǎng)絡的各個層次都需要處理，但是對于接入節(jié)點，因為其在寬帶接入網(wǎng)中的位置，上述功能的實現(xiàn)尤其顯得重要。

MAC/IP地址欺騙

MAC/IP地址欺騙是非常嚴重的安全威脅。MAC地址欺騙的本質是會出現(xiàn)MAC地址重復，造成交換芯片MAC地址學習遷移，部分用戶無法上網(wǎng)。MAC地址欺騙可以分成下面兩種類型：

(1)用戶的MAC地址欺騙。

(2)上游網(wǎng)絡業(yè)務服務器(如BRAS、DHCP服務器/中繼、默認網(wǎng)關等)的MAC地址欺騙。

因為以太網(wǎng)自身的特點，MAC地址信息都是公開的，通過掃描工具，用戶可以較容易地獲取其他用戶的MAC地址信息。如果相同的MAC地址出現(xiàn)在設備的不同用戶端口上，就會造成MAC地址學習發(fā)生紊亂，導致用戶無法上網(wǎng)。為了增強安全性，在寬帶接入網(wǎng)絡，一般要求在接入節(jié)點處實現(xiàn)用戶端口隔離：在同一個VLAN下的用戶之間相互不能通信，而只能和上行匯聚端口互通。用戶端口隔離可以通過私有虛擬局域網(wǎng)(PVLAN)技術來實現(xiàn)。不是所有的交換芯片都支持PVLAN的功能，即使支持PVLAN的功能，也有可能因為設備MAC地址設置不當造成MAC地址重復問題，或者用戶通過其他渠道獲得其他用戶的MAC(比如“暴力”MAC嘗試)。PVLAN技術本身不足以完全解決用戶側MAC地址欺騙問題。解決用戶側MAC地址欺騙，有如下解決方法：

(1)VMAC 在接入節(jié)點處，在上行方向，給每個<物理端口，MAC>分配或者生成一個***的VMAC地址。被解釋以后的MAC地址因為是設備自己產(chǎn)生的，因此是可信的，而且確保不會出現(xiàn)用戶側MAC地址重復的現(xiàn)象。使用VMAC地址代替報文的源MAC地址。下行方向，根據(jù)VMAC查找到對應的原始的MAC地址，然后使用原始MAC地址代替VMAC地址。VMAC不僅僅可用來防止用戶MAC地址欺騙，還可防止對業(yè)務服務器MAC地址的欺騙，并且也可以用于用戶端口識別。缺點是影響與MAC地址相關的協(xié)議，處理復雜。

(2)MAC地址綁定。將MAC地址靜態(tài)綁定到用戶端口，如果數(shù)據(jù)報文的源MAC地址和綁定的MAC地址不同，則地址被丟棄。此方法雖簡單，但是可用性差。用戶自組網(wǎng)絡的MAC地址千差萬別，而且個數(shù)也不確定，如果采用靜態(tài)綁定，很難管理。

(3)基于PPPoE會話(Session)感知的數(shù)據(jù)報文轉發(fā)，應用于PPPoE接入環(huán)境。每個用戶都對應唯一的PPPoE會話標識(SessionID)?？梢栽诮尤牍?jié)點上記錄一張表，上行直接匯聚，下行可以查看該表來進行數(shù)據(jù)轉發(fā)。這樣，數(shù)據(jù)報文的轉發(fā)完全可以不使用MAC地址，也就不需要學習，從而也就不存在MAC地址重復問題。

(4)基于IP感知的數(shù)據(jù)報文轉發(fā)。應用于IPoE的寬帶接入網(wǎng)環(huán)境。在接入節(jié)點上，建立一張表，因為IP是唯一的，所以不會存在IP重復的現(xiàn)象，數(shù)據(jù)報文下行轉發(fā)沒有問題。和基于PPPoE Session的數(shù)據(jù)報文轉發(fā)一樣，接入節(jié)點上也不需要MAC地址學習。

上述3、4兩種處理方法對接入節(jié)點歸屬的VLAN有一定的要求。如果一個接入節(jié)點屬于一個唯一的VLAN，那么只要接入節(jié)點按照上述要求轉發(fā)數(shù)據(jù)報文即可。如果多個接入節(jié)點屬于一個VLAN，那么需要保證匯聚這些接入節(jié)點的交換機也要按照上述的要求轉發(fā)下行數(shù)據(jù)報文。利用PPPoE Session或者IP感知的方式和傳統(tǒng)的二層交換機的轉發(fā)機制有質的不同，一般的交換芯片難以實現(xiàn)，而且只解決特定類型接入的MAC地址重復問題。優(yōu)點是不用修改數(shù)據(jù)報文，不會影響其他協(xié)議。業(yè)務服務器的MAC地址欺騙將會使得網(wǎng)絡設備的業(yè)務服務器MAC地址學習發(fā)生遷移，從而造成設備下的部分用戶無法上網(wǎng)。業(yè)務服務器MAC地址防欺騙可以使用下面的技術來解決：

(1)VMAC
使用VMAC可以解決各種接入環(huán)境下的業(yè)務服務器MAC欺騙。

(2)業(yè)務服務器MAC地址靜態(tài)配置
手動將業(yè)務服務器的MAC配置到接入節(jié)點交換芯片的靜態(tài)MAC地址表上，這樣業(yè)務服務器MAC地址學習就不會發(fā)生遷移。這個方法雖然簡單，但靈活性和擴充性都很差。

(3)業(yè)務服務器MAC地址自動配置
這是本文提出的一種解決業(yè)務服務器MAC地址欺騙的方法。基本思想是，讓接入節(jié)點充當PPPoE或者DHCP客戶端，定期發(fā)起PPPoE或者DHCP請求，這樣就可以動態(tài)地獲取BRAS和DHCP服務器/中繼的MAC地址。其優(yōu)點非常明顯：可利用現(xiàn)有協(xié)議，不用手動配置，不修改數(shù)據(jù)報文，不影響其他協(xié)議。

IP欺騙存在于IPoE接入場景下，冒用他人IP地址，盜取服務，或者沒有通過DHCP獲得配置信息的情況下寬帶接入網(wǎng)絡，妨礙了運營商的統(tǒng)一管理。解決這個問題需要在接入節(jié)點上實現(xiàn)“DHCP IP源警衛(wèi)”，監(jiān)聽來往于用戶和DHCP服務器/中繼的協(xié)議報文，在用戶沒有獲取配置信息以前，除了DHCP協(xié)議報文，其他上行報文統(tǒng)統(tǒng)拋棄。一旦監(jiān)聽到DHCP ACK報文，就綁定<分配的IP，用戶MAC>到用戶端口，使能上行數(shù)據(jù)報文的發(fā)送，同時保證上行數(shù)據(jù)報文的和綁定的<分配的IP，用戶MAC>一致。在DHCP租用到期后，取消這種捆綁，并停止上行非DHCP協(xié)議報文發(fā)送。

非法業(yè)務

經(jīng)過多年的寬帶接入網(wǎng)絡建設，對于運營商而言，接入帶寬已經(jīng)不是主要的問題。當務之急，一是在現(xiàn)有網(wǎng)絡的基礎上，提供盡可能多的業(yè)務，改變目前僅靠接入和帶寬盈利的模式，改變粗放式的經(jīng)營路線；另一個就是控制目前在已有網(wǎng)絡中存在的非法業(yè)務。所謂的非法業(yè)務是從運營商的角度來判定的一些目前網(wǎng)絡上存在的部分數(shù)據(jù)服務。非法業(yè)務形式多種多樣，下面僅是其中幾例：

(1)P2P流下載。P2P流下載能大量吞噬寶貴的網(wǎng)絡帶寬，影響用戶上網(wǎng)。
(2)VoIP。VoIP分流運營商已有的公共交換電話網(wǎng)(PSTN)業(yè)務，可能嚴重損害其業(yè)務收益。
(3)用戶側私拉亂接。寬帶用戶以個人的身份申請業(yè)務，但給企業(yè)或黑網(wǎng)吧使用，或與其他家庭共用寬帶，從而損害運營商的業(yè)務收益。

不同于前面幾節(jié)的安全問題，非法業(yè)務具有非常復雜的業(yè)務特征，不可能通過簡單的特征提取方法來判定某數(shù)據(jù)報文是否屬于非法業(yè)務的報文。為了檢測出某條數(shù)據(jù)流是否是非法業(yè)務，需要對數(shù)據(jù)流進行深度智能分析，依據(jù)預定義的特征信息庫，對數(shù)據(jù)流匹配才能判定。

用戶私拉亂接現(xiàn)象一般發(fā)生在用戶使用具有網(wǎng)絡地址轉換(NAT)功能的設備和接入節(jié)點對接情況下，上行數(shù)據(jù)報文從表面看起來好像從一個用戶發(fā)出的一樣。解決這個問題需要收集各種“蛛絲馬跡”：分析傳輸控制協(xié)議(TCP)連接數(shù)量、網(wǎng)絡流量、源TCP端口范圍，這些信息有一定的參考價值；分析MSN、Windows Update能攜帶的一些用戶特定信息；用戶上行數(shù)據(jù)流中，如OS版本、IE版本、用戶的行為習慣等有用的用戶信息。往往需要結合部分或者全部特征，作出綜合判斷，減少誤判和漏判。非法VoIP檢測起來具有很大的難度，VoIP軟件數(shù)量眾多。為了穿越防火墻或者NAT，防止被檢測，有些VoIP軟件甚至在特殊端口上啟動私有隧道來承載VoIP相關數(shù)據(jù)。需要對數(shù)據(jù)報協(xié)議/傳輸控制協(xié)議(UDP/TCP)所有的數(shù)據(jù)流進行監(jiān)控，利用VoIP注冊、呼叫、準入等特征來分析數(shù)據(jù)流。

P2P流容易監(jiān)控，因為流行的P2P軟件數(shù)量有限，這些軟件所發(fā)出的數(shù)據(jù)報文的特征相對容易定義。非法業(yè)務的檢測可以在寬帶接入網(wǎng)絡的各個層次進行。檢測點越往下游偏移，“分布式處理”的特征越強烈，容易在性能上得到提升，但是在價格、檢測點協(xié)作和管理方面相對于集中式檢測來說稍稍略弱一點。非法業(yè)務的檢測技術上具有智能化的趨勢。但是回報較高，因為可以為運營商創(chuàng)造更高的附加值。隨著未來各種業(yè)務在寬帶接入網(wǎng)絡的興起，非法業(yè)務檢測將大有用武之地，代表著寬帶接入網(wǎng)絡安全研究的一個重要方向。

結束語

對于接入網(wǎng)絡的商業(yè)應用，安全是一個重要的不容回避的問題，也是一個隨著時間動態(tài)變化的課題。不僅運營商高度重視安全問題，網(wǎng)絡設備提供商對安全問題也異常重視，中興通訊提供的DSLAM和BRAS可以解決上述大部分寬帶接入網(wǎng)安全問題。