PTN910 提供丰富的安全机制,保障网络安全。
基本安全特性
PTN910 的基本安全特性包括包括认证管理,授权管理,网络安全管理,系统安全管理,网元安全日志管理,Syslog 日志管理。
1、认证管理:出于安全的考虑,只有通过认证后确认是合法的用户才能登录到网元。
2、授权管理:合理的安排不同网元用户的操作权限,既可实现用户对网元的正常操作,又可有效的保证网元系统的安全性。
3、网络安全管理:通过 ACL 限制非法用户接入网元,通过加密与接入控制保障网元与网管间的通信安全。
4、系统安全管理:出于安全的考虑,系统提供必要的安全策略(如密码策略等),强制执行。
5、网元安全日志管理:网元安全日志记录所有网元用户对网元进行的操作及操作结果。通过查询日志,管理员可对用户操作进行追踪和审查。
6、Syslog 日志管理:系统日志服务(Syslog service)用户网元的安全管理。各种不同类别的信息会按照符合系统日志(Syslog)协议的格式传送到日志服务器,便于维护人员统一监控。
MAC 地址黑/ 白名单
在移动承载网络中,由于很多基站是处在无人值守的环境中。室外型基站和安置在民居房的基站,会更加容易遭受攻击。为了保证移动传送乃至整个网络的安全,有必要采取各种必要的安全措施控制接入。PTN910 可以通过 MAC 黑白名单来对接入的用户基站进行接入控制。
1、如果使用白名单的话,可以通过将合法基站的 MAC 地址加入白名单,来限制非法用户的接入。
2、如果使用黑名单的话,可以通过将非法的 MAC 地址加入黑名单,来限制非法用户的接入。
IEEE 802.1x 接入控制
在 PTN910 采用基于 MAC 的 802.1x 工作模式,即对于物理接口下的多个接入端,每个 MAC 设备在接入时都需要通过认证,才允许接入。
基站或者攻击接入者在请求网络服务时,向网络的边缘 PTN 设备发出认证请求,PTN设备将认证信息送往 Radius Server,由其负责执行具体的认证功能,Server 将客户端是否被授权访问网络服务的信息传回来,PTN 据此决定是否打开端口允许接入。
基于 MAC 地址的 IEEE 802.1x 接入控制需要与 MAC 地址白名单功能配合使用。
DHCP Snooping
无线基站需要运行 DHCP,以实现基站自动获取 IP 地址功能。其中,基站为 DHCP Client。DHCP Server 可能是一个独立的设备,也可能是 M2000 或控制器的一个组件,PTN 充当 relay 设备,协助基站与控制器进行正常的 DHCP 交互。DHCP Snooping 是DHCP 安全特性,通过建立和维护 DHCP Snooping 绑定表过滤不可信任的报文。
原文链接: http://www.szhjh.net/NewsDetails.aspx?iNewsId=1103