华为PTN950设备是通过各种业务级的安全认证实现对设备的业务安全管理。下面就由华佳慧科技来介绍介绍。
华为PTN950设备的802.1x业务认证
IEEE 802.1X认证是基于端口的接入认证体系,通过确定一个端口是否允许或禁止用户设备访问网络,从而达到防止***的目的。
目的和收益
移动承载网络中,由于很多基站都是处在无人值守的环境中,容易遭受***(比如会造成业务中断的源地址欺骗等)。为了保证网络的安全,有必要采取各种必要的安全措施来控制接入,IEEE 802.1X认证就是一种基本的也是比较有效的技术。
应用场景
如图13-1所示,支持IEEE 802.1X认证的华为PTN950设备,对于想要通过以太端口访问网络的客户端设备强制要求认证,未通过认证的客户端设备就无法接入端口访问网络。该场景下,NodeB 1或者***者在请求网络服务时,都需要向网络边缘的PTN 1发出认证请求,PTN 1将认证信息送往RADIUS Server,由其负责执行具体的认证功能。对于NodeB 1,RADIUS Server通过其认证后将消息传回给PTN 1,PTN 1根据消息启用与NodeB 1直连的以太端口,允许其访问网络;对于***者,RADIUS Server不通过其认证并将消息传回给PTN 1,PTN 1关闭与***者直连的端口,禁止其访问网络。
图 13-1 IEEE 802.1X 的应用场景
华为PTN950设备的端口静态 MAC表
端口静态MAC表即端口MAC白名单,是以太端口上的一个静态MAC地址表,只有源MAC地址存在于该表中的业务报文才允许通过该以太端口。PTN设备支持基于以太端口的白名单特性,通过限定业务报文的源MAC地址,保证只允许合法用户接入。
如图13-2所示为端口静态MAC的应用场景。NodeB 2为非法用户基站,NodeB 1为合法用户基站。为PTN A设备的端口1和端口2配置端口静态MAC表。NodeB 1的MAC地址在端口1的静态MAC表中,允许接入;NodeB 2的MAC地址不在端口2的静态MAC表中,不允许接入。
图 13-2 端口静态 MAC 特性场景图
转载于:https://blog.51cto.com/12213856/1865304