基于無源光網(wǎng)絡的校園網(wǎng)安全分析與防護

李晨暉　張祖瓊　郭小明

摘? ?要：無源光網(wǎng)絡多用于運營商的網(wǎng)絡建設，在用于學校的網(wǎng)絡建設時，因使用場景不同，還需要考慮局域網(wǎng)的安全和易用問題。文章從無源光網(wǎng)絡的工作原理上分析其安全特性，并針對IP欺騙、MAC欺騙、泛洪攻擊、環(huán)路檢測等局域網(wǎng)環(huán)境常見的安全問題進行分析和防護。此外，文章還介紹了無源光網(wǎng)絡帶來的新安全問題。

關鍵詞：無源光網(wǎng)絡;網(wǎng)絡安全;網(wǎng)絡防護;校園網(wǎng)

中圖分類號：TP393 文獻標志碼：A 文章編號：1673-8454（2020）19-0093-04

一、引言

GPON（Gigabit-Capable Passive Optical Network，千兆無源光網(wǎng)絡）網(wǎng)絡主要用于運營商的小區(qū)寬帶建設，目前也有學校引入到校園網(wǎng)建設方案中。

大多數(shù)的網(wǎng)絡安全威脅來自于內(nèi)部，局域網(wǎng)的安全防護在接入層就需要高度關注處理。做好底層防護是高層協(xié)議的安全基礎，以保障數(shù)據(jù)的私密性、完整性、可用性。傳統(tǒng)局域網(wǎng)建設中存在MAC地址欺騙、IP地址欺騙、ARP欺騙、DHCP攻擊、泛洪攻擊、環(huán)路造成廣播風暴等安全問題。在GPON網(wǎng)中應該如何防范，需要進行分析研究。

二、實驗環(huán)境

本校已經(jīng)建設部分宿舍區(qū)的GPON網(wǎng)絡，此次實驗分析基于如圖1所示的網(wǎng)絡結(jié)構。其中，OLT（Optical Line Terminal，光線路終端）采用華為MA5800型號產(chǎn)品。分光器采用1∶8的分光比。ONU（Optical Network Unit，光網(wǎng)絡單元）采用華為EG8145V5型號產(chǎn)品，有4個千兆以太網(wǎng)口。

核心交換機上接DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）服務器，為GPON網(wǎng)和傳統(tǒng)局域網(wǎng)的所有設備分配IP地址。PC1～PC4均在VLAN 100下。入網(wǎng)用戶采用準出的認證方式，在網(wǎng)絡出口采用WebPortal認證。實驗將分別在OLT的不同GPON口即不同的分光器下如PC1與PC4、同一分光器的不同ONU下如PC1與PC3、同一ONU不同以太網(wǎng)接口下如PC1與PC2之間測試各安全問題。

三、基于GPON網(wǎng)絡工作原理進行安全分析

1.GPON傳輸原理[1]

OLT的GPON口通過單芯光纖連接分光器，分光器分別8根光纖連接到8個ONU設備。上下行采用不同波長的光信號來承載數(shù)據(jù)[2]。物理上屬于1個GPON口、N個ONU設備的點對多點結(jié)構。

OLT將下行業(yè)務的以太網(wǎng)幀封裝成GPON幀，從1個GPON口發(fā)出，分光器無法對數(shù)據(jù)進行ONU區(qū)分，會廣播到所有連接的ONU設備上。ONU根據(jù)GPON幀頭部中的ID號判斷是否是發(fā)給本ONU的，不是則丟棄，是則將GPON幀中的以太網(wǎng)幀解析后發(fā)給ONU的以太網(wǎng)口。ONU前端進行過濾，避免用戶收到其他用戶的單播數(shù)據(jù)包。

上行業(yè)務為避免多個ONU同時發(fā)數(shù)據(jù)造成碰撞，采用時分復用的方式[3]。OLT根據(jù)動態(tài)帶寬分配等策略，為每個ONU協(xié)商分配時隙，ONU將上行以太網(wǎng)數(shù)據(jù)幀封裝為GPON幀發(fā)送給分光器。因在自己的時隙內(nèi)發(fā)送，在分光器進行耦合時能避免沖突。數(shù)據(jù)耦合后傳輸?shù)絆LT的GPON口，解封以太網(wǎng)幀做進一步處理。

因此，雖然同一GPON口下是點到多點的物理結(jié)構，但正常情況下，用戶不會收到不屬于自己的數(shù)據(jù)包。

2.GPON邏輯業(yè)務二層隔離

ONU除了可以承載用戶上網(wǎng)，還支持語音電話、視頻監(jiān)控、電視等業(yè)務。接入設備為區(qū)分不同用戶和不同業(yè)務，使之互相不受影響，GPON采用業(yè)務流的虛通道方式進行分類管理。業(yè)務流是用戶和OLT之間的邏輯通道，上下行的數(shù)據(jù)都是根據(jù)業(yè)務流的映射規(guī)則來進行轉(zhuǎn)發(fā)處理。

傳統(tǒng)以太網(wǎng)中同一個VLAN內(nèi)的所有以太網(wǎng)端口在一個廣播域內(nèi)，可以二層互通，讓諸多攻擊有機可乘。如ARP欺騙就是攻擊者向目標發(fā)送免費ARP包，向目標宣稱自己是網(wǎng)關或其他用戶。再如偽造非法DHCP服務器，就是通過回應用戶上網(wǎng)的IP地址廣播請求，從而導致用戶拿到錯誤的IP地址不能上網(wǎng)，或者拿到錯誤的網(wǎng)關、域名解析服務器，為攻擊者的下一步攻擊提供了跳板。

但GPON網(wǎng)絡中，即便在同一個VLAN，業(yè)務虛端口之間也相互隔離。這也是運營商廣泛使用PON網(wǎng)絡的一個原因，天然隔離不同用戶，可以避免很多局域網(wǎng)攻擊和病毒傳染等安全問題。如二層隔離后，ARP欺騙者無法直接向同一網(wǎng)段其他用戶發(fā)包，從而避免ARP欺騙攻擊[4]。再如隔離了廣播，用戶的DHCP請求也不會發(fā)到同一網(wǎng)段的攻擊者處。

但GPON的二層隔離僅限于GPON部分，OLT上行口的網(wǎng)絡側(cè)還是傳統(tǒng)以太網(wǎng)，同一VLAN的廣播包還是會廣播到所有用戶。OLT中可以設置APR代應答，則OLT代回答網(wǎng)絡側(cè)ARP的請求廣播包，代回ARP響應單播包，以增加安全性。

3.ONU上以太網(wǎng)端口的二層隔離

ONU的業(yè)務流可根據(jù)物理端口、邏輯端口等方式分類。物理方式是OLT與ONU上的以太網(wǎng)端口之間創(chuàng)建的業(yè)務流。實驗采用的是常用的基于GEM（GPON Encapsulation Mode，GPON封裝模式）port端口的邏輯方式，ONU上的4個以太網(wǎng)端口都提供普通上網(wǎng)業(yè)務，屬于同一個GEM port。經(jīng)實驗，默認情況下，4個以太網(wǎng)口之間沒有進行端口隔離。可以通過業(yè)務模板為ONU下發(fā)安全配置，開啟二層端口隔離。

ont-srvprofilegpon profile-id 1 profile-name "StuNet"

ont-port eth adaptive

port isolate eth 1 enable

port isolate eth 2 enable

port isolate eth 3 enable

port isolate eth 4 enable

commit

4.部分GPON局域網(wǎng)使用場景需打破二層隔離

二層隔離為家庭獨立用戶提供了安全保障，但有時為企業(yè)或?qū)W校帶來不便。如辦公室要共享打印機、分享文件、局域網(wǎng)游戲或應用等場景，需要打破用戶隔離，實現(xiàn)局域網(wǎng)內(nèi)互通。

打破用戶隔離有兩種方式：采用VLAN內(nèi)的ARP代理通過三層轉(zhuǎn)發(fā)實現(xiàn)用戶互通、基于VLAN的二層互通。采用ARP代理方法如下：

OLT （config）#vlan 100 smart

OLT （config）#arp proxy enable

OLT （config）#interface vlanif 100

OLT （config）#ip address x.x.x.x 255.255.255.0

OLT （config-if-vlanif100）#arp proxy enable

采用ARP代理的方式，則同網(wǎng)段用戶進行數(shù)據(jù)交換需要由上層設備做三層數(shù)據(jù)轉(zhuǎn)發(fā)，增加了上層設備的負擔?；赩LAN的二層互通可以解決該問題。開啟后同一網(wǎng)段的用戶能夠在二層網(wǎng)絡進行數(shù)據(jù)交換。方法如下：

OLT （config）#vlan service-profile profile-id 1

OLT（config-vlan-srvprof-1）#user-bridging enable

OLT （config）#vlan bind service-profile 100 profile-id 1

經(jīng)測試，開通二層互通功能的同一VLAN域中的用戶之間可以Ping通。后面的安全測試都在基于VLAN互通的前提下進行實驗。

四、局域網(wǎng)常見安全威脅分析

1.防IP欺騙

IP Spoofing即IP欺騙攻擊是攻擊者偽造成他人的IP地址做為數(shù)據(jù)包源地址，以使用他人的權限進行網(wǎng)絡攻擊，或破壞正常用戶業(yè)務的行為。局域網(wǎng)中也存在無意攻擊，而通過手動設置IP來上網(wǎng)的普遍現(xiàn)象，容易造成跟其他人IP地址沖突而不能上網(wǎng)。所以要禁止手動設置IP地址，只允許從DHCP服務器獲取。

傳統(tǒng)局域網(wǎng)中，通過啟用DHCPSnooping功能，監(jiān)控用戶向DHCP服務器獲取IP地址的數(shù)據(jù)包的過程，并在交換機內(nèi)記錄用戶IP、MAC地址、VLAN、交換機接口的綁定表。綁定表結(jié)合IP Source Guard功能，IP報文進入交換機后，可通過檢查數(shù)據(jù)包的源IP地址和MAC地址是否在綁定表中來判斷是否為合法用戶，如果偽造他人IP則丟棄。綁定表結(jié)合DAI（Dynamic ARP Inspection，動態(tài)ARP 檢測）功能，也可以檢查ARP包中MAC地址的合法性?？傊?，可以防IP欺騙、MAC地址欺騙、ARP欺騙，同時禁止了手動設置IP地址的上網(wǎng)方式。

GPON網(wǎng)絡與傳統(tǒng)的綁定表類似。開啟IP Spoofing功能后，會監(jiān)控用戶的DHCP上線與下線流程。在用戶的上線過程中，系統(tǒng)動態(tài)獲取分配給用戶的IP地址，并將IP地址與業(yè)務流綁定，只允許源IP地址為已經(jīng)綁定到業(yè)務流的報文通過設備。

開啟防御IP Spoofing功能需要在全局、VLAN、業(yè)務流下分三級打開：

OLT（config）#security anti-ipspoofing enable

OLT（config）#vlan service-profile profile-id 1

OLT（config-vlan-srvprof-1）#security anti-ipspoofing enable

OLT（config-vlan-srvprof-1）#commit

OLT（config-vlan-srvprof-1）#quit

OLT（config）#vlan bind service-profile 100 profile-id 1

OLT（config）#security anti-ipspoofing service-port 1 enable

而網(wǎng)絡中仍然在存在不支持DHCP功能的特殊設備，必須要手動設置IP。實現(xiàn)方式為可以通過關閉對應業(yè)務流的防IP地址攻擊功能，或在業(yè)務虛端口上手動綁定IP，這樣比關閉防御功能更安全。綁定方法如下：

OLT（config）#bind ip service-port 1 10.1.1.1

2.防Mac地址欺騙

Mac地址欺騙是仿冒用戶MAC地址或網(wǎng)絡設備MAC地址，使接入設備的MAC地址表學習到錯誤的地址表項，以竊取流量，或中斷其他用戶正常通信。

與IP Spoofing類似，在使用防MAC欺騙功能時，動態(tài)記錄用戶MAC、VLAN、業(yè)務流的相應信息。用戶端口有數(shù)據(jù)進入時，檢查報文的MAC地址是否是已綁定業(yè)務流。如果不是合法報文，則視為MAC地址欺騙，將報文丟棄。配置如下：

OLT（config）#security anti-macspoofing enable

OLT （config）#vlan service-profile profile-id 1

OLT （config-vlan-srvprof-1）#security anti-macspoofing enable

OLT （config-vlan-srvprof-1）#commit

OLT （config-vlan-srvprof-1）#quit

OLT （config）#vlan bind service-profile 100 profile-id 1

OLT （config）#security anti-macspoofing service-port 1 enable

還可以通過靜態(tài)MAC地址綁定的方式，防御MAC地址欺騙：

OLT （config）#mac-address static service-port 1 xxxx-xxxx-xxxx

3.防MAC地址泛洪攻擊

傳統(tǒng)以太網(wǎng)中，攻擊者偽造大量不同源MAC地址報文發(fā)到交換機中。交換機會自動學習數(shù)據(jù)包的源MAC地址，添加到MAC地址表中，大量的垃圾表項把系統(tǒng)MAC地址表資源消耗殆盡。導致交換機無法學習新的MAC地址，其他用戶的正常通信報文只能作為未知單播報文，被廣播或丟棄。如果廣播，會消耗大量轉(zhuǎn)發(fā)帶寬，影響通信質(zhì)量，并有可能讓攻擊者嗅探到其他用戶報文。如果報文被丟棄，則導致部分用戶無法上網(wǎng)?？赏ㄟ^限制端口學習到的MAC地址數(shù)，或者限制報文發(fā)送速率來防御。

GPON網(wǎng)絡中，實施MAC地址泛洪攻擊則會將OLT的MAC地址表空間占滿。開啟防MAC欺騙后，可通過security anti-macspoofing max-mac-count命令配置業(yè)務流最多可綁定的MAC地址數(shù)，從而避免MAC泛洪攻擊。

4.防止協(xié)議類型泛洪攻擊

泛洪攻擊的特點是攻擊者發(fā)送大量的報文，導致系統(tǒng)無法處理其他用戶的請求，也即DoS（Denial of Service，拒絕服務）攻擊。

除了MAC泛洪，還有ARP、ICMP、DHCP等各種協(xié)議泛洪。當實施ARP欺騙的時候，如ARP中間人攻擊，需要不停地發(fā)ARP包以欺騙目標機和網(wǎng)關，這樣才能持續(xù)嗅探兩者之間的數(shù)據(jù)流以竊取信息。有時候用戶電腦中毒也會導致發(fā)送大量ARP包。ICMP泛洪也稱為死亡之Ping，利用簡單的輔助網(wǎng)絡故障診斷的Ping命令持續(xù)攻擊，可能會導致目標消耗過多系統(tǒng)資源而無法響應。對DHCP服務器發(fā)起泛洪攻擊，是攻擊者偽造大量MAC地址，向DHCP服務器發(fā)起申請IP地址請求，造成DHCP地址池的地址用盡，正常用戶無法獲取到地址。

防御DoS攻擊主要還是對協(xié)議報文進行限速。

使用security anti-dos enable命令開啟防DoS攻擊功能。識別DoS攻擊后，可通過display security dos-blacklist查詢發(fā)生Dos攻擊的列表，從而可以進一步處理，如關閉用戶端口。

發(fā)生DoS攻擊時，可配置處理策略security anti-dos control-packet policy permit，按設置的速度閾值進行限速，繼續(xù)處理報文。配置security anti-dos control-packet policy deny則會在發(fā)生DoS攻擊時丟棄所有報文。

攻擊報文速度分兩級設置：各類協(xié)議報文的分項速度、所有報文的總速度。如使用security anti-dos control-packet rate60配置總協(xié)議報文的速率閾值為每秒60個包，security anti-dos control-packet dhcp rate10配置發(fā)送給DHCP服務器的速率閾值為每秒10個包。

5.環(huán)路檢測

局域網(wǎng)還會出現(xiàn)環(huán)路問題。經(jīng)常出現(xiàn)用戶端網(wǎng)線接線太亂，而無意將一根網(wǎng)線的2頭接到同一個交換機的2個端口造成環(huán)路，或接到不同交換機的2個口，形成更大的環(huán)。環(huán)路會造成廣播風暴，數(shù)據(jù)轉(zhuǎn)發(fā)會消耗大量網(wǎng)絡設備資源和網(wǎng)絡帶寬，使用戶無法正常上網(wǎng)。環(huán)路問題主要靠生成樹算法、MAC地址表探測等方法來檢測破環(huán)[5]。

GPON系統(tǒng)上開啟環(huán)路檢測功能，通過周期性發(fā)送環(huán)路檢測數(shù)據(jù)報文，并通過監(jiān)控收到檢測報文的位置來判斷是否有環(huán)路，并關閉形成環(huán)路的用戶端口，保障不對其他用戶造成影響。需要在OLT和ONU上均開啟環(huán)路檢測。OLT上使用ring check enable命令開啟用戶側(cè)環(huán)網(wǎng)檢測功能。ONU上的環(huán)路檢測功能需要通過OLT下發(fā)業(yè)務模板配置來開啟：

ont-srvprofilegpon profile-id 1 profile-name "StuNet"

ring check enable

ring check detect-frequency 1

commit

五、GPON網(wǎng)絡新的安全問題

ONU的上行數(shù)據(jù)包是通過時分復用的方式，在自己的時間間隙才發(fā)包。如果在其它時間間隙也一直發(fā)送光信號，會導致同一GPON口下其它ONU下線或不穩(wěn)定。這種長發(fā)光的稱為流氓ONU，發(fā)生這種情況時需要對ONU逐一排查。

GPON網(wǎng)絡下行數(shù)據(jù)采用廣播的方式發(fā)送到所有的ONU，如果有非法接入的ONU，則可以接收到其它ONU的數(shù)據(jù)，存在安全隱患?？梢酝ㄟ^指定SN號和密碼注冊的方式添加ONU，也可以對下行數(shù)據(jù)包進行AES加密，并自動定期更換密鑰，以提高安全性。

六、結(jié)束語

GPON網(wǎng)絡天然二層隔離，對小區(qū)家庭住戶來說，其安全特性比較適用。但校園網(wǎng)中有局域網(wǎng)絡的應用需求，在滿足易用性之后，安全問題一定要防護到位，否則會對日后運維造成影響。GPON網(wǎng)絡具備局域網(wǎng)基本的安全防護能力。

參考文獻：

[1]ITU-T G.984.3 Gigabit-capable passive optical networks（G-PON）： Transmission convergence layer specification，2014.

[2]ITU-T G.984.1 Gigabit-capable passive optical networks （GPON）： General characteristics，2008.

[3]左明慧.基于GPON 的高校智慧校園網(wǎng)安全策略設計研究[J].赤峰學院學報（自然科學版），2018，34（11）：52-54.

[4]王曉妮.高校局域網(wǎng)中ARP 攻擊防御策略的分析與實施[J].航空計算技術，2017，47（3）：125-129，134.

[5]楊柳，曾顏.xPON系統(tǒng)中用戶側(cè)端口成環(huán)的破除方法[J].光通信研究，2011（2）：17-19.

（編輯：王曉明）