寬帶接入網還是比較常用的，于是我研究了一下寬帶接入網的基礎知識，在這里拿出來和大家分享一下，希望對大家有用。上行方向，因為用戶自組網絡不受控，惡意用戶或者惡意程序就可構造非法協議報文，向上發送，這不僅會導致網絡設備處理性能下降，有時還造成網絡設備系統紊亂甚至死機。另外，如果惡意用戶或者程序過量地上行發送協議、廣播報文，無論是合法還是非法，同樣會造成系統設備性能明顯下降，因為協議、廣播等報文的處理非常消耗設備資源。下行方向，盡管處于可控的網絡域內，但是因為設備自身穩定性問題，以及網絡復雜性問題，也可能會出現非法或者過量報文發送，也需要進行防范。非法報文包括：

非法源MAC地址報文。源MAC地址不能是廣播或者組播地址，因為有些MAC地址已經被標準組織所預留，不能被普通用戶使用。

(2)非法協議報文。從理論上分析，互聯網組管理協議(IGMP)上行方向不可能有詢問(Query)報文，下行方向不可能有報告/離開/加入(Report/Leave/Join)報文；上行不可能出現提供/確認(OFFER/ACK)報文，下行不可能出現發現/請求(DISCOVER/REQUEST)報文；PPPoE協議上行不會有PADO和PADS報文，下行不會有PADI和PADR報文。根據需要，對這些報文都要攔截過濾。

(3)超長報文、超短報文或者校驗錯報文，如低于64字節的報文或者大于1 518字節的報文。特定情況下，超長報文是允許的。

對于非法報文，一般的技術是使用過濾器來過濾丟棄這些報文。過濾器的基本原理是，根據用戶定義的被過濾數據報文的特征，匹配數據報文。如果符合預定義的特征，那么過濾掉該報文。當前的交換芯片大都具備報文特征提取和匹配功能，可以完成數據鏈路層、網絡層甚至更高層數據報文特征信息的提取和匹配。

前面3種過量報文會大量吞噬設備處理資源，第4種會占用交換芯片有限的MAC地址表資源，都需要進行控制。前3種過量報文的處理步驟為：匹配特定類型的報文，特征是：特定的協議報文、廣播報文(或者某種更具體特征的廣播報文)、組播報文(或者某種更具體特征的組播報文)；統計此類報文的發送速率；如果發送速率超過預定義的速率，拋棄報文。處理過量協議、廣播和組播報文的技術又被稱為報文抑制。解決過量源MAC地址問題比較簡單：可設定用戶側端口MAC地址個數的上限。這樣，一旦端口達到預定義的MAC地址個數，后續帶有新MAC地址的報文一律被丟棄。非法報文和過量報文的處理在寬帶接入網絡的各個層次都需要處理，但是對于接入節點，因為其在寬帶接入網中的位置，上述功能的實現尤其顯得重要。

MAC/IP地址欺騙

MAC/IP地址欺騙是非常嚴重的安全威脅。MAC地址欺騙的本質是會出現MAC地址重復，造成交換芯片MAC地址學習遷移，部分用戶無法上網。MAC地址欺騙可以分成下面兩種類型：

用戶的MAC地址欺騙。

(2)上游網絡業務服務器(如BRAS、DHCP服務器/中繼、默認網關等)的MAC地址欺騙。

因為以太網自身的特點，MAC地址信息都是公開的，通過掃描工具，用戶可以較容易地獲取其他用戶的MAC地址信息。如果相同的MAC地址出現在設備的不同用戶端口上，就會造成MAC地址學習發生紊亂，導致用戶無法上網。為了增強安全性，在寬帶接入網絡，一般要求在接入節點處實現用戶端口隔離：在同一個VLAN下的用戶之間相互不能通信，而只能和上行匯聚端口互通。用戶端口隔離可以通過私有虛擬局域網(PVLAN)技術來實現。不是所有的交換芯片都支持PVLAN的功能，即使支持PVLAN的功能，也有可能因為設備MAC地址設置不當造成MAC地址重復問題，或者用戶通過其他渠道獲得其他用戶的MAC(比如“暴力”MAC嘗試)。PVLAN技術本身不足以完全解決用戶側MAC地址欺騙問題。解決用戶側MAC地址欺騙，有如下解決方法：

VMAC 在接入節點處，在上行方向，給每個<物理端口，MAC>分配或者生成一個獨一無二的VMAC地址。被解釋以后的MAC地址因為是設備自己產生的，因此是可信的，而且確保不會出現用戶側MAC地址重復的現象。使用VMAC地址代替報文的源MAC地址。下行方向，根據VMAC查找到對應的原始的MAC地址，然后使用原始MAC地址代替VMAC地址。VMAC不僅僅可用來防止用戶MAC地址欺騙，還可防止對業務服務器MAC地址的欺騙，并且也可以用于用戶端口識別。缺點是影響與MAC地址相關的協議，處理復雜。

(2)MAC地址綁定。將MAC地址靜態綁定到用戶端口，如果數據報文的源MAC地址和綁定的MAC地址不同，則地址被丟棄。此方法雖簡單，但是可用性差。用戶自組網絡的MAC地址千差萬別，而且個數也不確定，如果采用靜態綁定，很難管理。

(3)基于PPPoE會話(Session)感知的數據報文轉發，應用于PPPoE接入環境。每個用戶都對應唯一的PPPoE會話標識(SessionID)。可以在接入節點上記錄一張表，上行直接匯聚，下行可以查看該表來進行數據轉發。這樣，數據報文的轉發完全可以不使用MAC地址，也就不需要學習，從而也就不存在MAC地址重復問題。

(4)基于IP感知的數據報文轉發。應用于IPoE的寬帶接入網環境。在接入節點上，建立一張表，因為IP是唯一的，所以不會存在IP重復的現象，數據報文下行轉發沒有問題。和基于PPPoE Session的數據報文轉發一樣，接入節點上也不需要MAC地址學習。

上述3、4兩種處理方法對接入節點歸屬的VLAN有一定的要求。如果一個接入節點屬于一個唯一的VLAN，那么只要接入節點按照上述要求轉發數據報文即可。如果多個接入節點屬于一個VLAN，那么需要保證匯聚這些接入節點的交換機也要按照上述的要求轉發下行數據報文。利用PPPoE Session或者IP感知的方式和傳統的二層交換機的轉發機制有質的不同，一般的交換芯片難以實現，而且只解決特定類型接入的MAC地址重復問題。優點是不用修改數據報文，不會影響其他協議。業務服務器的MAC地址欺騙將會使得網絡設備的業務服務器MAC地址學習發生遷移，從而造成設備下的部分用戶無法上網。業務服務器MAC地址防欺騙可以使用下面的技術來解決：

VMAC
使用VMAC可以解決各種接入環境下的業務服務器MAC欺騙。

(2)業務服務器MAC地址靜態配置
手動將業務服務器的MAC配置到接入節點交換芯片的靜態MAC地址表上，這樣業務服務器MAC地址學習就不會發生遷移。這個方法雖然簡單，但靈活性和擴充性都很差。

(3)業務服務器MAC地址自動配置
這是本文提出的一種解決業務服務器MAC地址欺騙的方法。基本思想是，讓接入節點充當PPPoE或者DHCP客戶端，定期發起PPPoE或者DHCP請求，這樣就可以動態地獲取BRAS和DHCP服務器/中繼的MAC地址。其優點非常明顯：可利用現有協議，不用手動配置，不修改數據報文，不影響其他協議。

IP欺騙存在于IPoE接入場景下，冒用他人IP地址，盜取服務，或者沒有通過DHCP獲得配置信息的情況下寬帶接入網絡，妨礙了運營商的統一管理。解決這個問題需要在接入節點上實現“DHCP IP源警衛”，監聽來往于用戶和DHCP服務器/中繼的協議報文，在用戶沒有獲取配置信息以前，除了DHCP協議報文，其他上行報文統統拋棄。一旦監聽到DHCP ACK報文，就綁定<分配的IP，用戶MAC>到用戶端口，使能上行數據報文的發送，同時保證上行數據報文的和綁定的<分配的IP，用戶MAC>一致。在DHCP租用到期后，取消這種捆綁，并停止上行非DHCP協議報文發送。

非法業務

經過多年的寬帶接入網絡建設，對于運營商而言，接入帶寬已經不是主要的問題。當務之急，一是在現有網絡的基礎上，提供盡可能多的業務，改變目前僅靠接入和帶寬盈利的模式，改變粗放式的經營路線；另一個就是控制目前在已有網絡中存在的非法業務。所謂的非法業務是從運營商的角度來判定的一些目前網絡上存在的部分數據服務。非法業務形式多種多樣，下面僅是其中幾例：

P2P流下載。P2P流下載能大量吞噬寶貴的網絡帶寬，影響用戶上網。
(2)VoIP。VoIP分流運營商已有的公共交換電話網(PSTN)業務，可能嚴重損害其業務收益。
(3)用戶側私拉亂接。寬帶用戶以個人的身份申請業務，但給企業或黑網吧使用，或與其他家庭共用寬帶，從而損害運營商的業務收益。

不同于前面幾節的安全問題，非法業務具有非常復雜的業務特征，不可能通過簡單的特征提取方法來判定某數據報文是否屬于非法業務的報文。為了檢測出某條數據流是否是非法業務，需要對數據流進行深度智能分析，依據預定義的特征信息庫，對數據流匹配才能判定。

用戶私拉亂接現象一般發生在用戶使用具有網絡地址轉換(NAT)功能的設備和接入節點對接情況下，上行數據報文從表面看起來好像從一個用戶發出的一樣。解決這個問題需要收集各種“蛛絲馬跡”：分析傳輸控制協議(TCP)連接數量、網絡流量、源TCP端口范圍，這些信息有一定的參考價值；分析MSN、Windows Update能攜帶的一些用戶特定信息；用戶上行數據流中，如OS版本、IE版本、用戶的行為習慣等有用的用戶信息。往往需要結合部分或者全部特征，作出綜合判斷，減少誤判和漏判。非法VoIP檢測起來具有很大的難度，VoIP軟件數量眾多。為了穿越防火墻或者NAT，防止被檢測，有些VoIP軟件甚至在特殊端口上啟動私有隧道來承載VoIP相關數據。需要對數據報協議/傳輸控制協議(UDP/TCP)所有的數據流進行監控，利用VoIP注冊、呼叫、準入等特征來分析數據流。

P2P流容易監控，因為流行的P2P軟件數量有限，這些軟件所發出的數據報文的特征相對容易定義。非法業務的檢測可以在寬帶接入網絡的各個層次進行。檢測點越往下游偏移，“分布式處理”的特征越強烈，容易在性能上得到提升，但是在價格、檢測點協作和管理方面相對于集中式檢測來說稍稍略弱一點。非法業務的檢測技術上具有智能化的趨勢。但是回報較高，因為可以為運營商創造更高的附加值。隨著未來各種業務在寬帶接入網絡的興起，非法業務檢測將大有用武之地，代表著寬帶接入網絡安全研究的一個重要方向。

結束語

對于接入網絡的商業應用，安全是一個重要的不容回避的問題，也是一個隨著時間動態變化的課題。不僅運營商高度重視安全問題，網絡設備提供商對安全問題也異常重視，中興通訊提供的DSLAM和BRAS可以解決上述大部分寬帶接入網安全問題。