李晨暉　張祖瓊　郭小明

摘? ?要：無(wú)源光網(wǎng)絡(luò)多用于運(yùn)營(yíng)商的網(wǎng)絡(luò)建設(shè)，在用于學(xué)校的網(wǎng)絡(luò)建設(shè)時(shí)，因使用場(chǎng)景不同，還需要考慮局域網(wǎng)的安全和易用問(wèn)題。文章從無(wú)源光網(wǎng)絡(luò)的工作原理上分析其安全特性，并針對(duì)IP欺騙、MAC欺騙、泛洪攻擊、環(huán)路檢測(cè)等局域網(wǎng)環(huán)境常見(jiàn)的安全問(wèn)題進(jìn)行分析和防護(hù)。此外，文章還介紹了無(wú)源光網(wǎng)絡(luò)帶來(lái)的新安全問(wèn)題。

關(guān)鍵詞：無(wú)源光網(wǎng)絡(luò);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)防護(hù);校園網(wǎng)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-8454（2020）19-0093-04

一、引言

GPON（Gigabit-Capable Passive Optical Network，千兆無(wú)源光網(wǎng)絡(luò)）網(wǎng)絡(luò)主要用于運(yùn)營(yíng)商的小區(qū)寬帶建設(shè)，目前也有學(xué)校引入到校園網(wǎng)建設(shè)方案中。

大多數(shù)的網(wǎng)絡(luò)安全威脅來(lái)自于內(nèi)部，局域網(wǎng)的安全防護(hù)在接入層就需要高度關(guān)注處理。做好底層防護(hù)是高層協(xié)議的安全基礎(chǔ)，以保障數(shù)據(jù)的私密性、完整性、可用性。傳統(tǒng)局域網(wǎng)建設(shè)中存在MAC地址欺騙、IP地址欺騙、ARP欺騙、DHCP攻擊、泛洪攻擊、環(huán)路造成廣播風(fēng)暴等安全問(wèn)題。在GPON網(wǎng)中應(yīng)該如何防范，需要進(jìn)行分析研究。

二、實(shí)驗(yàn)環(huán)境

本校已經(jīng)建設(shè)部分宿舍區(qū)的GPON網(wǎng)絡(luò)，此次實(shí)驗(yàn)分析基于如圖1所示的網(wǎng)絡(luò)結(jié)構(gòu)。其中，OLT（Optical Line Terminal，光線路終端）采用華為MA5800型號(hào)產(chǎn)品。分光器采用1∶8的分光比。ONU（Optical Network Unit，光網(wǎng)絡(luò)單元）采用華為EG8145V5型號(hào)產(chǎn)品，有4個(gè)千兆以太網(wǎng)口。

核心交換機(jī)上接DHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議）服務(wù)器，為GPON網(wǎng)和傳統(tǒng)局域網(wǎng)的所有設(shè)備分配IP地址。PC1～PC4均在VLAN 100下。入網(wǎng)用戶采用準(zhǔn)出的認(rèn)證方式，在網(wǎng)絡(luò)出口采用WebPortal認(rèn)證。實(shí)驗(yàn)將分別在OLT的不同GPON口即不同的分光器下如PC1與PC4、同一分光器的不同ONU下如PC1與PC3、同一ONU不同以太網(wǎng)接口下如PC1與PC2之間測(cè)試各安全問(wèn)題。

三、基于GPON網(wǎng)絡(luò)工作原理進(jìn)行安全分析

1.GPON傳輸原理[1]

OLT的GPON口通過(guò)單芯光纖連接分光器，分光器分別8根光纖連接到8個(gè)ONU設(shè)備。上下行采用不同波長(zhǎng)的光信號(hào)來(lái)承載數(shù)據(jù)[2]。物理上屬于1個(gè)GPON口、N個(gè)ONU設(shè)備的點(diǎn)對(duì)多點(diǎn)結(jié)構(gòu)。

OLT將下行業(yè)務(wù)的以太網(wǎng)幀封裝成GPON幀，從1個(gè)GPON口發(fā)出，分光器無(wú)法對(duì)數(shù)據(jù)進(jìn)行ONU區(qū)分，會(huì)廣播到所有連接的ONU設(shè)備上。ONU根據(jù)GPON幀頭部中的ID號(hào)判斷是否是發(fā)給本ONU的，不是則丟棄，是則將GPON幀中的以太網(wǎng)幀解析后發(fā)給ONU的以太網(wǎng)口。ONU前端進(jìn)行過(guò)濾，避免用戶收到其他用戶的單播數(shù)據(jù)包。

上行業(yè)務(wù)為避免多個(gè)ONU同時(shí)發(fā)數(shù)據(jù)造成碰撞，采用時(shí)分復(fù)用的方式[3]。OLT根據(jù)動(dòng)態(tài)帶寬分配等策略，為每個(gè)ONU協(xié)商分配時(shí)隙，ONU將上行以太網(wǎng)數(shù)據(jù)幀封裝為GPON幀發(fā)送給分光器。因在自己的時(shí)隙內(nèi)發(fā)送，在分光器進(jìn)行耦合時(shí)能避免沖突。數(shù)據(jù)耦合后傳輸?shù)絆LT的GPON口，解封以太網(wǎng)幀做進(jìn)一步處理。

因此，雖然同一GPON口下是點(diǎn)到多點(diǎn)的物理結(jié)構(gòu)，但正常情況下，用戶不會(huì)收到不屬于自己的數(shù)據(jù)包。

2.GPON邏輯業(yè)務(wù)二層隔離

ONU除了可以承載用戶上網(wǎng)，還支持語(yǔ)音電話、視頻監(jiān)控、電視等業(yè)務(wù)。接入設(shè)備為區(qū)分不同用戶和不同業(yè)務(wù)，使之互相不受影響，GPON采用業(yè)務(wù)流的虛通道方式進(jìn)行分類管理。業(yè)務(wù)流是用戶和OLT之間的邏輯通道，上下行的數(shù)據(jù)都是根據(jù)業(yè)務(wù)流的映射規(guī)則來(lái)進(jìn)行轉(zhuǎn)發(fā)處理。

傳統(tǒng)以太網(wǎng)中同一個(gè)VLAN內(nèi)的所有以太網(wǎng)端口在一個(gè)廣播域內(nèi)，可以二層互通，讓諸多攻擊有機(jī)可乘。如ARP欺騙就是攻擊者向目標(biāo)發(fā)送免費(fèi)ARP包，向目標(biāo)宣稱自己是網(wǎng)關(guān)或其他用戶。再如偽造非法DHCP服務(wù)器，就是通過(guò)回應(yīng)用戶上網(wǎng)的IP地址廣播請(qǐng)求，從而導(dǎo)致用戶拿到錯(cuò)誤的IP地址不能上網(wǎng)，或者拿到錯(cuò)誤的網(wǎng)關(guān)、域名解析服務(wù)器，為攻擊者的下一步攻擊提供了跳板。

但GPON網(wǎng)絡(luò)中，即便在同一個(gè)VLAN，業(yè)務(wù)虛端口之間也相互隔離。這也是運(yùn)營(yíng)商廣泛使用PON網(wǎng)絡(luò)的一個(gè)原因，天然隔離不同用戶，可以避免很多局域網(wǎng)攻擊和病毒傳染等安全問(wèn)題。如二層隔離后，ARP欺騙者無(wú)法直接向同一網(wǎng)段其他用戶發(fā)包，從而避免ARP欺騙攻擊[4]。再如隔離了廣播，用戶的DHCP請(qǐng)求也不會(huì)發(fā)到同一網(wǎng)段的攻擊者處。

但GPON的二層隔離僅限于GPON部分，OLT上行口的網(wǎng)絡(luò)側(cè)還是傳統(tǒng)以太網(wǎng)，同一VLAN的廣播包還是會(huì)廣播到所有用戶。OLT中可以設(shè)置APR代應(yīng)答，則OLT代回答網(wǎng)絡(luò)側(cè)ARP的請(qǐng)求廣播包，代回ARP響應(yīng)單播包，以增加安全性。

3.ONU上以太網(wǎng)端口的二層隔離

ONU的業(yè)務(wù)流可根據(jù)物理端口、邏輯端口等方式分類。物理方式是OLT與ONU上的以太網(wǎng)端口之間創(chuàng)建的業(yè)務(wù)流。實(shí)驗(yàn)采用的是常用的基于GEM（GPON Encapsulation Mode，GPON封裝模式）port端口的邏輯方式，ONU上的4個(gè)以太網(wǎng)端口都提供普通上網(wǎng)業(yè)務(wù)，屬于同一個(gè)GEM port。經(jīng)實(shí)驗(yàn)，默認(rèn)情況下，4個(gè)以太網(wǎng)口之間沒(méi)有進(jìn)行端口隔離?？梢酝ㄟ^(guò)業(yè)務(wù)模板為ONU下發(fā)安全配置，開(kāi)啟二層端口隔離。

ont-srvprofilegpon profile-id 1 profile-name "StuNet"

ont-port eth adaptive

port isolate eth 1 enable

port isolate eth 2 enable

port isolate eth 3 enable

port isolate eth 4 enable

commit

4.部分GPON局域網(wǎng)使用場(chǎng)景需打破二層隔離

二層隔離為家庭獨(dú)立用戶提供了安全保障，但有時(shí)為企業(yè)或?qū)W校帶來(lái)不便。如辦公室要共享打印機(jī)、分享文件、局域網(wǎng)游戲或應(yīng)用等場(chǎng)景，需要打破用戶隔離，實(shí)現(xiàn)局域網(wǎng)內(nèi)互通。

打破用戶隔離有兩種方式：采用VLAN內(nèi)的ARP代理通過(guò)三層轉(zhuǎn)發(fā)實(shí)現(xiàn)用戶互通、基于VLAN的二層互通。采用ARP代理方法如下：

OLT （config）#vlan 100 smart

OLT （config）#arp proxy enable

OLT （config）#interface vlanif 100

OLT （config）#ip address x.x.x.x 255.255.255.0

OLT （config-if-vlanif100）#arp proxy enable

采用ARP代理的方式，則同網(wǎng)段用戶進(jìn)行數(shù)據(jù)交換需要由上層設(shè)備做三層數(shù)據(jù)轉(zhuǎn)發(fā)，增加了上層設(shè)備的負(fù)擔(dān)?；赩LAN的二層互通可以解決該問(wèn)題。開(kāi)啟后同一網(wǎng)段的用戶能夠在二層網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換。方法如下：

OLT （config）#vlan service-profile profile-id 1

OLT（config-vlan-srvprof-1）#user-bridging enable

OLT （config）#vlan bind service-profile 100 profile-id 1

經(jīng)測(cè)試，開(kāi)通二層互通功能的同一VLAN域中的用戶之間可以Ping通。后面的安全測(cè)試都在基于VLAN互通的前提下進(jìn)行實(shí)驗(yàn)。

四、局域網(wǎng)常見(jiàn)安全威脅分析

1.防IP欺騙

IP Spoofing即IP欺騙攻擊是攻擊者偽造成他人的IP地址做為數(shù)據(jù)包源地址，以使用他人的權(quán)限進(jìn)行網(wǎng)絡(luò)攻擊，或破壞正常用戶業(yè)務(wù)的行為。局域網(wǎng)中也存在無(wú)意攻擊，而通過(guò)手動(dòng)設(shè)置IP來(lái)上網(wǎng)的普遍現(xiàn)象，容易造成跟其他人IP地址沖突而不能上網(wǎng)。所以要禁止手動(dòng)設(shè)置IP地址，只允許從DHCP服務(wù)器獲取。

傳統(tǒng)局域網(wǎng)中，通過(guò)啟用DHCPSnooping功能，監(jiān)控用戶向DHCP服務(wù)器獲取IP地址的數(shù)據(jù)包的過(guò)程，并在交換機(jī)內(nèi)記錄用戶IP、MAC地址、VLAN、交換機(jī)接口的綁定表。綁定表結(jié)合IP Source Guard功能，IP報(bào)文進(jìn)入交換機(jī)后，可通過(guò)檢查數(shù)據(jù)包的源IP地址和MAC地址是否在綁定表中來(lái)判斷是否為合法用戶，如果偽造他人IP則丟棄。綁定表結(jié)合DAI（Dynamic ARP Inspection，動(dòng)態(tài)ARP 檢測(cè)）功能，也可以檢查ARP包中MAC地址的合法性。總之，可以防IP欺騙、MAC地址欺騙、ARP欺騙，同時(shí)禁止了手動(dòng)設(shè)置IP地址的上網(wǎng)方式。

GPON網(wǎng)絡(luò)與傳統(tǒng)的綁定表類似。開(kāi)啟IP Spoofing功能后，會(huì)監(jiān)控用戶的DHCP上線與下線流程。在用戶的上線過(guò)程中，系統(tǒng)動(dòng)態(tài)獲取分配給用戶的IP地址，并將IP地址與業(yè)務(wù)流綁定，只允許源IP地址為已經(jīng)綁定到業(yè)務(wù)流的報(bào)文通過(guò)設(shè)備。

開(kāi)啟防御IP Spoofing功能需要在全局、VLAN、業(yè)務(wù)流下分三級(jí)打開(kāi)：

OLT（config）#security anti-ipspoofing enable

OLT（config）#vlan service-profile profile-id 1

OLT（config-vlan-srvprof-1）#security anti-ipspoofing enable

OLT（config-vlan-srvprof-1）#commit

OLT（config-vlan-srvprof-1）#quit

OLT（config）#vlan bind service-profile 100 profile-id 1

OLT（config）#security anti-ipspoofing service-port 1 enable

而網(wǎng)絡(luò)中仍然在存在不支持DHCP功能的特殊設(shè)備，必須要手動(dòng)設(shè)置IP。實(shí)現(xiàn)方式為可以通過(guò)關(guān)閉對(duì)應(yīng)業(yè)務(wù)流的防IP地址攻擊功能，或在業(yè)務(wù)虛端口上手動(dòng)綁定IP，這樣比關(guān)閉防御功能更安全。綁定方法如下：

OLT（config）#bind ip service-port 1 10.1.1.1

2.防Mac地址欺騙

Mac地址欺騙是仿冒用戶MAC地址或網(wǎng)絡(luò)設(shè)備MAC地址，使接入設(shè)備的MAC地址表學(xué)習(xí)到錯(cuò)誤的地址表項(xiàng)，以竊取流量，或中斷其他用戶正常通信。

與IP Spoofing類似，在使用防MAC欺騙功能時(shí)，動(dòng)態(tài)記錄用戶MAC、VLAN、業(yè)務(wù)流的相應(yīng)信息。用戶端口有數(shù)據(jù)進(jìn)入時(shí)，檢查報(bào)文的MAC地址是否是已綁定業(yè)務(wù)流。如果不是合法報(bào)文，則視為MAC地址欺騙，將報(bào)文丟棄。配置如下：

OLT（config）#security anti-macspoofing enable

OLT （config）#vlan service-profile profile-id 1

OLT （config-vlan-srvprof-1）#security anti-macspoofing enable

OLT （config-vlan-srvprof-1）#commit

OLT （config-vlan-srvprof-1）#quit

OLT （config）#vlan bind service-profile 100 profile-id 1

OLT （config）#security anti-macspoofing service-port 1 enable

還可以通過(guò)靜態(tài)MAC地址綁定的方式，防御MAC地址欺騙：

OLT （config）#mac-address static service-port 1 xxxx-xxxx-xxxx

3.防MAC地址泛洪攻擊

傳統(tǒng)以太網(wǎng)中，攻擊者偽造大量不同源MAC地址報(bào)文發(fā)到交換機(jī)中。交換機(jī)會(huì)自動(dòng)學(xué)習(xí)數(shù)據(jù)包的源MAC地址，添加到MAC地址表中，大量的垃圾表項(xiàng)把系統(tǒng)MAC地址表資源消耗殆盡。導(dǎo)致交換機(jī)無(wú)法學(xué)習(xí)新的MAC地址，其他用戶的正常通信報(bào)文只能作為未知單播報(bào)文，被廣播或丟棄。如果廣播，會(huì)消耗大量轉(zhuǎn)發(fā)帶寬，影響通信質(zhì)量，并有可能讓攻擊者嗅探到其他用戶報(bào)文。如果報(bào)文被丟棄，則導(dǎo)致部分用戶無(wú)法上網(wǎng)。可通過(guò)限制端口學(xué)習(xí)到的MAC地址數(shù)，或者限制報(bào)文發(fā)送速率來(lái)防御。

GPON網(wǎng)絡(luò)中，實(shí)施MAC地址泛洪攻擊則會(huì)將OLT的MAC地址表空間占滿。開(kāi)啟防MAC欺騙后，可通過(guò)security anti-macspoofing max-mac-count命令配置業(yè)務(wù)流最多可綁定的MAC地址數(shù)，從而避免MAC泛洪攻擊。

4.防止協(xié)議類型泛洪攻擊

泛洪攻擊的特點(diǎn)是攻擊者發(fā)送大量的報(bào)文，導(dǎo)致系統(tǒng)無(wú)法處理其他用戶的請(qǐng)求，也即DoS（Denial of Service，拒絕服務(wù)）攻擊。

除了MAC泛洪，還有ARP、ICMP、DHCP等各種協(xié)議泛洪。當(dāng)實(shí)施ARP欺騙的時(shí)候，如ARP中間人攻擊，需要不停地發(fā)ARP包以欺騙目標(biāo)機(jī)和網(wǎng)關(guān)，這樣才能持續(xù)嗅探兩者之間的數(shù)據(jù)流以竊取信息。有時(shí)候用戶電腦中毒也會(huì)導(dǎo)致發(fā)送大量ARP包。ICMP泛洪也稱為死亡之Ping，利用簡(jiǎn)單的輔助網(wǎng)絡(luò)故障診斷的Ping命令持續(xù)攻擊，可能會(huì)導(dǎo)致目標(biāo)消耗過(guò)多系統(tǒng)資源而無(wú)法響應(yīng)。對(duì)DHCP服務(wù)器發(fā)起泛洪攻擊，是攻擊者偽造大量MAC地址，向DHCP服務(wù)器發(fā)起申請(qǐng)IP地址請(qǐng)求，造成DHCP地址池的地址用盡，正常用戶無(wú)法獲取到地址。

防御DoS攻擊主要還是對(duì)協(xié)議報(bào)文進(jìn)行限速。

使用security anti-dos enable命令開(kāi)啟防DoS攻擊功能。識(shí)別DoS攻擊后，可通過(guò)display security dos-blacklist查詢發(fā)生Dos攻擊的列表，從而可以進(jìn)一步處理，如關(guān)閉用戶端口。

發(fā)生DoS攻擊時(shí)，可配置處理策略security anti-dos control-packet policy permit，按設(shè)置的速度閾值進(jìn)行限速，繼續(xù)處理報(bào)文。配置security anti-dos control-packet policy deny則會(huì)在發(fā)生DoS攻擊時(shí)丟棄所有報(bào)文。

攻擊報(bào)文速度分兩級(jí)設(shè)置：各類協(xié)議報(bào)文的分項(xiàng)速度、所有報(bào)文的總速度。如使用security anti-dos control-packet rate60配置總協(xié)議報(bào)文的速率閾值為每秒60個(gè)包，security anti-dos control-packet dhcp rate10配置發(fā)送給DHCP服務(wù)器的速率閾值為每秒10個(gè)包。

5.環(huán)路檢測(cè)

局域網(wǎng)還會(huì)出現(xiàn)環(huán)路問(wèn)題。經(jīng)常出現(xiàn)用戶端網(wǎng)線接線太亂，而無(wú)意將一根網(wǎng)線的2頭接到同一個(gè)交換機(jī)的2個(gè)端口造成環(huán)路，或接到不同交換機(jī)的2個(gè)口，形成更大的環(huán)。環(huán)路會(huì)造成廣播風(fēng)暴，數(shù)據(jù)轉(zhuǎn)發(fā)會(huì)消耗大量網(wǎng)絡(luò)設(shè)備資源和網(wǎng)絡(luò)帶寬，使用戶無(wú)法正常上網(wǎng)。環(huán)路問(wèn)題主要靠生成樹(shù)算法、MAC地址表探測(cè)等方法來(lái)檢測(cè)破環(huán)[5]。

GPON系統(tǒng)上開(kāi)啟環(huán)路檢測(cè)功能，通過(guò)周期性發(fā)送環(huán)路檢測(cè)數(shù)據(jù)報(bào)文，并通過(guò)監(jiān)控收到檢測(cè)報(bào)文的位置來(lái)判斷是否有環(huán)路，并關(guān)閉形成環(huán)路的用戶端口，保障不對(duì)其他用戶造成影響。需要在OLT和ONU上均開(kāi)啟環(huán)路檢測(cè)。OLT上使用ring check enable命令開(kāi)啟用戶側(cè)環(huán)網(wǎng)檢測(cè)功能。ONU上的環(huán)路檢測(cè)功能需要通過(guò)OLT下發(fā)業(yè)務(wù)模板配置來(lái)開(kāi)啟：

ont-srvprofilegpon profile-id 1 profile-name "StuNet"

ring check enable

ring check detect-frequency 1

commit

五、GPON網(wǎng)絡(luò)新的安全問(wèn)題

ONU的上行數(shù)據(jù)包是通過(guò)時(shí)分復(fù)用的方式，在自己的時(shí)間間隙才發(fā)包。如果在其它時(shí)間間隙也一直發(fā)送光信號(hào)，會(huì)導(dǎo)致同一GPON口下其它ONU下線或不穩(wěn)定。這種長(zhǎng)發(fā)光的稱為流氓ONU，發(fā)生這種情況時(shí)需要對(duì)ONU逐一排查。

GPON網(wǎng)絡(luò)下行數(shù)據(jù)采用廣播的方式發(fā)送到所有的ONU，如果有非法接入的ONU，則可以接收到其它ONU的數(shù)據(jù)，存在安全隱患?？梢酝ㄟ^(guò)指定SN號(hào)和密碼注冊(cè)的方式添加ONU，也可以對(duì)下行數(shù)據(jù)包進(jìn)行AES加密，并自動(dòng)定期更換密鑰，以提高安全性。

六、結(jié)束語(yǔ)

GPON網(wǎng)絡(luò)天然二層隔離，對(duì)小區(qū)家庭住戶來(lái)說(shuō)，其安全特性比較適用。但校園網(wǎng)中有局域網(wǎng)絡(luò)的應(yīng)用需求，在滿足易用性之后，安全問(wèn)題一定要防護(hù)到位，否則會(huì)對(duì)日后運(yùn)維造成影響。GPON網(wǎng)絡(luò)具備局域網(wǎng)基本的安全防護(hù)能力。

參考文獻(xiàn)：

[1]ITU-T G.984.3 Gigabit-capable passive optical networks（G-PON）： Transmission convergence layer specification，2014.

[2]ITU-T G.984.1 Gigabit-capable passive optical networks （GPON）： General characteristics，2008.

[3]左明慧.基于GPON 的高校智慧校園網(wǎng)安全策略設(shè)計(jì)研究[J].赤峰學(xué)院學(xué)報(bào)（自然科學(xué)版），2018，34（11）：52-54.

[4]王曉妮.高校局域網(wǎng)中ARP 攻擊防御策略的分析與實(shí)施[J].航空計(jì)算技術(shù)，2017，47（3）：125-129，134.

[5]楊柳，曾顏.xPON系統(tǒng)中用戶側(cè)端口成環(huán)的破除方法[J].光通信研究，2011（2）：17-19.

（編輯：王曉明）