宽带接入网还是比较常用的，于是我研究了一下宽带接入网的基础知识，在这里拿出来和大家分享一下，希望对大家有用。上行方向，因为用户自组网络不受控，恶意用户或者恶意程序就可构造非法协议报文，向上发送，这不仅会导致网络设备处理性能下降，有时还造成网络设备系统紊乱甚至死机。另外，如果恶意用户或者程序过量地上行发送协议、广播报文，无论是合法还是非法，同样会造成系统设备性能明显下降，因为协议、广播等报文的处理非常消耗设备资源。下行方向，尽管处于可控的网络域内，但是因为设备自身稳定性问题，以及网络复杂性问题，也可能会出现非法或者过量报文发送，也需要进行防范。非法报文包括：

非法源MAC地址报文。源MAC地址不能是广播或者组播地址，因为有些MAC地址已经被标准组织所预留，不能被普通用户使用。

(2)非法协议报文。从理论上分析，互联网组管理协议(IGMP)上行方向不可能有询问(Query)报文，下行方向不可能有报告/离开/加入(Report/Leave/Join)报文；上行不可能出现提供/确认(OFFER/ACK)报文，下行不可能出现发现/请求(DISCOVER/REQUEST)报文；PPPoE协议上行不会有PADO和PADS报文，下行不会有PADI和PADR报文。根据需要，对这些报文都要拦截过滤。

(3)超长报文、超短报文或者校验错报文，如低于64字节的报文或者大于1 518字节的报文。特定情况下，超长报文是允许的。

对于非法报文，一般的技术是使用过滤器来过滤丢弃这些报文。过滤器的基本原理是，根据用户定义的被过滤数据报文的特征，匹配数据报文。如果符合预定义的特征，那么过滤掉该报文。当前的交换芯片大都具备报文特征提取和匹配功能，可以完成数据链路层、网络层甚至更高层数据报文特征信息的提取和匹配。

前面3种过量报文会大量吞噬设备处理资源，第4种会占用交换芯片有限的MAC地址表资源，都需要进行控制。前3种过量报文的处理步骤为：匹配特定类型的报文，特征是：特定的协议报文、广播报文(或者某种更具体特征的广播报文)、组播报文(或者某种更具体特征的组播报文)；统计此类报文的发送速率；如果发送速率超过预定义的速率，抛弃报文。处理过量协议、广播和组播报文的技术又被称为报文抑制。解决过量源MAC地址问题比较简单：可设定用户侧端口MAC地址个数的上限。这样，一旦端口达到预定义的MAC地址个数，后续带有新MAC地址的报文一律被丢弃。非法报文和过量报文的处理在宽带接入网络的各个层次都需要处理，但是对于接入节点，因为其在宽带接入网中的位置，上述功能的实现尤其显得重要。

MAC/IP地址欺骗

MAC/IP地址欺骗是非常严重的安全威胁。MAC地址欺骗的本质是会出现MAC地址重复，造成交换芯片MAC地址学习迁移，部分用户无法上网。MAC地址欺骗可以分成下面两种类型：

用户的MAC地址欺骗。

(2)上游网络业务服务器(如BRAS、DHCP服务器/中继、默认网关等)的MAC地址欺骗。

因为以太网自身的特点，MAC地址信息都是公开的，通过扫描工具，用户可以较容易地获取其他用户的MAC地址信息。如果相同的MAC地址出现在设备的不同用户端口上，就会造成MAC地址学习发生紊乱，导致用户无法上网。为了增强安全性，在宽带接入网络，一般要求在接入节点处实现用户端口隔离：在同一个VLAN下的用户之间相互不能通信，而只能和上行汇聚端口互通。用户端口隔离可以通过私有虚拟局域网(PVLAN)技术来实现。不是所有的交换芯片都支持PVLAN的功能，即使支持PVLAN的功能，也有可能因为设备MAC地址设置不当造成MAC地址重复问题，或者用户通过其他渠道获得其他用户的MAC(比如“暴力”MAC尝试)。PVLAN技术本身不足以完全解决用户侧MAC地址欺骗问题。解决用户侧MAC地址欺骗，有如下解决方法：

VMAC 在接入节点处，在上行方向，给每个<物理端口，MAC>分配或者生成一个独一无二的VMAC地址。被解释以后的MAC地址因为是设备自己产生的，因此是可信的，而且确保不会出现用户侧MAC地址重复的现象。使用VMAC地址代替报文的源MAC地址。下行方向，根据VMAC查找到对应的原始的MAC地址，然后使用原始MAC地址代替VMAC地址。VMAC不仅仅可用来防止用户MAC地址欺骗，还可防止对业务服务器MAC地址的欺骗，并且也可以用于用户端口识别。缺点是影响与MAC地址相关的协议，处理复杂。

(2)MAC地址绑定。将MAC地址静态绑定到用户端口，如果数据报文的源MAC地址和绑定的MAC地址不同，则地址被丢弃。此方法虽简单，但是可用性差。用户自组网络的MAC地址千差万别，而且个数也不确定，如果采用静态绑定，很难管理。

(3)基于PPPoE会话(Session)感知的数据报文转发，应用于PPPoE接入环境。每个用户都对应唯一的PPPoE会话标识(SessionID)。可以在接入节点上记录一张表，上行直接汇聚，下行可以查看该表来进行数据转发。这样，数据报文的转发完全可以不使用MAC地址，也就不需要学习，从而也就不存在MAC地址重复问题。

(4)基于IP感知的数据报文转发。应用于IPoE的宽带接入网环境。在接入节点上，建立一张表，因为IP是唯一的，所以不会存在IP重复的现象，数据报文下行转发没有问题。和基于PPPoE Session的数据报文转发一样，接入节点上也不需要MAC地址学习。

上述3、4两种处理方法对接入节点归属的VLAN有一定的要求。如果一个接入节点属于一个唯一的VLAN，那么只要接入节点按照上述要求转发数据报文即可。如果多个接入节点属于一个VLAN，那么需要保证汇聚这些接入节点的交换机也要按照上述的要求转发下行数据报文。利用PPPoE Session或者IP感知的方式和传统的二层交换机的转发机制有质的不同，一般的交换芯片难以实现，而且只解决特定类型接入的MAC地址重复问题。优点是不用修改数据报文，不会影响其他协议。业务服务器的MAC地址欺骗将会使得网络设备的业务服务器MAC地址学习发生迁移，从而造成设备下的部分用户无法上网。业务服务器MAC地址防欺骗可以使用下面的技术来解决：

VMAC
使用VMAC可以解决各种接入环境下的业务服务器MAC欺骗。

(2)业务服务器MAC地址静态配置
手动将业务服务器的MAC配置到接入节点交换芯片的静态MAC地址表上，这样业务服务器MAC地址学习就不会发生迁移。这个方法虽然简单，但灵活性和扩充性都很差。

(3)业务服务器MAC地址自动配置
这是本文提出的一种解决业务服务器MAC地址欺骗的方法。基本思想是，让接入节点充当PPPoE或者DHCP客户端，定期发起PPPoE或者DHCP请求，这样就可以动态地获取BRAS和DHCP服务器/中继的MAC地址。其优点非常明显：可利用现有协议，不用手动配置，不修改数据报文，不影响其他协议。

IP欺骗存在于IPoE接入场景下，冒用他人IP地址，盗取服务，或者没有通过DHCP获得配置信息的情况下宽带接入网络，妨碍了运营商的统一管理。解决这个问题需要在接入节点上实现“DHCP IP源警卫”，监听来往于用户和DHCP服务器/中继的协议报文，在用户没有获取配置信息以前，除了DHCP协议报文，其他上行报文统统抛弃。一旦监听到DHCP ACK报文，就绑定<分配的IP，用户MAC>到用户端口，使能上行数据报文的发送，同时保证上行数据报文的和绑定的<分配的IP，用户MAC>一致。在DHCP租用到期后，取消这种捆绑，并停止上行非DHCP协议报文发送。

非法业务

经过多年的宽带接入网络建设，对于运营商而言，接入带宽已经不是主要的问题。当务之急，一是在现有网络的基础上，提供尽可能多的业务，改变目前仅靠接入和带宽盈利的模式，改变粗放式的经营路线；另一个就是控制目前在已有网络中存在的非法业务。所谓的非法业务是从运营商的角度来判定的一些目前网络上存在的部分数据服务。非法业务形式多种多样，下面仅是其中几例：

P2P流下载。P2P流下载能大量吞噬宝贵的网络带宽，影响用户上网。
(2)VoIP。VoIP分流运营商已有的公共交换电话网(PSTN)业务，可能严重损害其业务收益。
(3)用户侧私拉乱接。宽带用户以个人的身份申请业务，但给企业或黑网吧使用，或与其他家庭共用宽带，从而损害运营商的业务收益。

不同于前面几节的安全问题，非法业务具有非常复杂的业务特征，不可能通过简单的特征提取方法来判定某数据报文是否属于非法业务的报文。为了检测出某条数据流是否是非法业务，需要对数据流进行深度智能分析，依据预定义的特征信息库，对数据流匹配才能判定。

用户私拉乱接现象一般发生在用户使用具有网络地址转换(NAT)功能的设备和接入节点对接情况下，上行数据报文从表面看起来好像从一个用户发出的一样。解决这个问题需要收集各种“蛛丝马迹”：分析传输控制协议(TCP)连接数量、网络流量、源TCP端口范围，这些信息有一定的参考价值；分析MSN、Windows Update能携带的一些用户特定信息；用户上行数据流中，如OS版本、IE版本、用户的行为习惯等有用的用户信息。往往需要结合部分或者全部特征，作出综合判断，减少误判和漏判。非法VoIP检测起来具有很大的难度，VoIP软件数量众多。为了穿越防火墙或者NAT，防止被检测，有些VoIP软件甚至在特殊端口上启动私有隧道来承载VoIP相关数据。需要对数据报协议/传输控制协议(UDP/TCP)所有的数据流进行监控，利用VoIP注册、呼叫、准入等特征来分析数据流。

P2P流容易监控，因为流行的P2P软件数量有限，这些软件所发出的数据报文的特征相对容易定义。非法业务的检测可以在宽带接入网络的各个层次进行。检测点越往下游偏移，“分布式处理”的特征越强烈，容易在性能上得到提升，但是在价格、检测点协作和管理方面相对于集中式检测来说稍稍略弱一点。非法业务的检测技术上具有智能化的趋势。但是回报较高，因为可以为运营商创造更高的附加值。随着未来各种业务在宽带接入网络的兴起，非法业务检测将大有用武之地，代表着宽带接入网络安全研究的一个重要方向。

结束语

对于接入网络的商业应用，安全是一个重要的不容回避的问题，也是一个随着时间动态变化的课题。不仅运营商高度重视安全问题，网络设备提供商对安全问题也异常重视，中兴通讯提供的DSLAM和BRAS可以解决上述大部分宽带接入网安全问题。