- EPON技术 您现在的位置 :首页 -- 技术论坛 -- EPON技术
- 上一篇:FTTH项目中必须遵循的关键要素
- 下一篇:EPON常见故障处理--光路问题
EPON 常见故障----组网问题
发表于:2018-11-09 浏览237次 |
一、组网问题
1、非法报文洪泛,占用地址表,影响带宽;
2、网络攻击,使设备死机;
3、网络存在环回,形成广播风暴,或使地址表学习异常,无法转发;
4、用户攻击(比如arp 攻击)或病毒等;
二、安全问题
上述网络中存在的问题,目前已成为工程维护中,最为困扰的部分,特别对于部分组网存在一些隐患的地区;就EPON 设备而言,由于接入用户量更大,比之一般的宽带接入设备,更需要能较好地保护措施,防止设备本身受攻击和用户业务中断。
基本且必要的措施有:
1.取消vlan 1配置;
2.vlan filter功能;
3.下联接口间隔离功能;
4.ACL功能;
5.端口环回检测;
6.mac防迁移(或称防欺骗/防窥探);
(一)vlan 1问题
宽带交换设备一般都配置缺省vlan 1,且所有接口都加入vlan 1中,这对于简单的应用或刚开始确认接口连通性时,非常方便,但是在电信网络中,这种配置目前看来因不受控制,容易引起安全隐患。
网络中只要存在一处设备,没有进行vlan配置,就会接入vlan 1的报文(端口缺省在vlan 1中,缺省的端口port vid设置也是1)。因为所有设备接口都在vlan 1内,这个报文将在所有设备中洪泛;可能形成网络环回,引发广播风暴;
图6,采用了双上联,本义是想一个上联口走宽带业务,一个上联口走窄带业务,划分不同vlan,但是如果上联的 switch和接入设备的接口都在vlan 1中,只要有一个vlan 1的报文,就会导致环回风暴,业务全阻。
图7中,两个switch,一个是用来汇聚宽带业务的,一个是用来汇聚窄带业务的,但是却在连接上形成了一个八字环,同样如果都存在vlan 1中的话,会导致环回风暴。
因而,对于vlan 1这种缺省的传统配置,需要重新考虑:或者取消这种缺省配置,或者可以通过重新配置,将接口从vlan 1中删除。
(二)VLAN FILTER
按照业务要求对vlan严格划分和配置,是保证二层网络安全的基本要求,设备除了要按照vlan划分进行业务转发,也需要具备严格控制vlan接入的能力:
按照标准要求,接口可按照vlan接入要求配置为不同模式:
a.hybrid模式:可以同时接入untagged报文和vlan tagged报文;
b.trunk模式:只能接入vlan tagged报文;
c.access模式:只能接入untagged报文;
另外,设备端口应拒绝接收该端口未配置的vlan的vlan tagged报文,即禁止设备未配置的非法vlan报文的进入。
(三)端口隔离
为了保证安全,不同用户的不同业务,都会划分不同vlan。对于网管,IPTV点播,语音这类业务,由于接入点相对可控,网络配置要求,还是会多个接入点共享一个vlan,可能出现异常:
接入终端类型多样,处理有问题,造成错误的报文回应或回送:如开启了dhcp server,对不处理的报文回送,造成环回;二层网络内节点过多,mac地址学习表占用量大:比如察看一个olt的上联口,可以发现网管vlan或语音vlan内诸多mac地址。因EPON OLT本身接入用户数量可能会很大(40PON口*16ONU*20 UNI = 128000)。上联口地址学习占用比较浪费,实际业务并不需要互通,或者是通过上层网关进行互通,不依赖地址表。
安全起见,认为下联接口间应能做到端口隔离,或者更高级一些,具备PVLAN功能,即接口即使配置在相同vlan内,也不互通,或者可根据vlan选择性地互通。
上面图示八字环的情况,如果交换机的下联接口间可以做到互相隔离,那么也不会出现环路。
(四)ACL功能
这是一个比较基本的功能,设备应既能做到基于接口的ACL配置,也能实现基于管理通道的ACL配置。
EPON组网的特点:通过在olt上联口进行ACL配置,可以保护所连接的ONU设备。
(五)环路检测
1、基本原理
为了防止由于某个节点或组网中存在环回,可能对整个网络造成的严重影响,不少设备都支持了环路检测功能,它的大致原理是:各接口构造特殊的环路检测报文向外发送(广播包或组播包),如果接口收到自己发出的报文,则说明该接口下存在自环,如果收到来自其他接口的报文,说明两接口间有回路连接。检测到问题后,会进行告警,并将问题接口闭塞,以解除环路。
2、功能局限
环路检测功能的一个较大的局限性在于只能检测到物理连接上的环路,不能发现由于终端异常协议处理造成的特定协议报文环回的情况。
另外环路检测的另一个较大缺陷是:如果检测不当,接口被错误闭塞,或用户环路已经取消,没有及时开启导致用户使用收到较大影响。
3、应用和建议
实际应用中出现交换机检测到环路,将其下联接口关闭,使下联接入网元上所有用户无法上网。实现得较好的环路检测功能,需要能发现环路不存在后,将接口自动开启。
建议在最靠近用户接口的接入设备上,在用户接口上启用环路检测,汇聚设备上启用的话,影响面太大。
(六)MAC地址防欺骗
1、基本原理
或者称为mac地址防窥探,这也是一个DSLAM论坛建议的安全措施:用于防止恶意用户使用特殊工具仿冒其他用户的mac地址,特别是网关地址,造成正常用户无法上网;而仿冒网关对于二层交换设备的结果是:网关地址出现在问题用户接口上,而不是上联口,使所有用户都无法和网关正常通信,业务中断-----这和用户接口自环造成的结果相同。
2、实现方法
控制和禁止mac地址在老化时间内迁移,这样仿冒或环回的地址不能对原正常的地址学习产生影响,并且相关的报文会被丢弃,使不会再转发到上层设备,对其产生影响。
需要特别保护的是上联的网关地址,此时防迁移设计可以做成:上联口学到的地址在老化时间内不能迁移到用户口,但用户口学到的地址在老化时间内可以迁回上联口。
防地址迁移一般是防止MAC+VLAN项迁移,但做成按MAC有一定好处,因为用户侧不同UNI口或PVC打不同PVID,如果其间有环回,则造成相同MAC,不同VLAN表项的情况,按MAC才能检测出来。只是这种检测方法对不同上联接口上出现不同vlan,相同网关MAC的情况,会误判,此前出现因为不同上联网关所使用VRRP MAC相同时,出现OLT无法转发的情况,就有这个原因。
3、使用建议
不同业务能采用不同网关mac,避免万一出现问题,各种业务的转发同时产生问题。
最佳的防迁移的实现需要一定的芯片级的支持,否则只能部分依赖软件实现,有一定的软件复杂度。
一个简单的保护网关地址不被欺骗的方法是将网关地址静态绑定在上联口,从而杜绝用户仿冒。
防欺骗的这些措施同样避免了网络环路造成的问题,并且比环路检测功能更为有效,因为适用性更广,不单是规避物理环回的影响,且反应更直接快速。
金钱猫科技