由于安全是各种用户群都非常关心的内容，并且安全本身又不是一个能够一劳永逸地解决的问题，因此大量用户都希望由运营商来提供安全的网络应用保障。因此，如果能将各种公众所需要的安全性设计成相应的网络增值业务，则一定会涌现出大量的高效益安全业务。

　　从IP城域接入网络的层次来看，其安全可靠性的主要关注点是防止非法用户的接入，
规范合法用户的业务应用，并提供不可抵赖的安全定位与日志。

　　第一个问题是线路终端的私接乱拉，不仅导致运营商在许多局部范围流失大量的潜在用户，并给运营网络资源造成大量无效的消耗。

　　案例一，某人在网上介绍了一个其帮助家里宽带接入“避费”的办法：它将一个AP设备接入到RTU终端，由RTU终端进行PPPoE拨号，一层4户共同享受WLAN包月上网的好处。实际上，类似的私接乱拉现象，其存在范围并不小，许多地方甚至还有大量地下网吧的存在，都给运营商造成了大量收入的流失。

　　第二个问题是包月账号的分时共享。

　　案例二，某医院三个护士，一个包月账号三个人在不同的时间分着用。这个问题的严重性在于，这种非法的账号盗用方式，毫无技术门槛、拉线门槛以及投资门槛的限制，因此可扩展性强，而它造成的又是运营商纯利润的损失，是运营商必须采取技术措施加以限制的。

　　第三个问题是不能防范以及快速定位网络攻击，网络的可用性受制于人。目前，黑客软件越来越发达，获得也越来越容易，并且已经开始与病毒相结合，例如著名的红色代码病毒，一旦其大规模发作，许多IP城域网有可能即刻陷于瘫痪，这已经有先例在前了。因此，运营商必须采取有效的措施来防范这种攻击风险，并且可能要将真正的攻击者准确地定位出来，切实保障IP城域网的安全运营。

　　上述三个问题是目前比较普遍的，或者有较大潜在危害的问题，实际上IP城域网的网络安全问题还有许多，必须寻找更确切的用户身份标识，但更为现实的办法则是寻找合理的解决方案对账帐号/密码方式的用户身份标识进行增强。

　　IP城域接入网络应该是这样的：

　　首先，应当通过验证用户账号/密码来初步确认用户身份，可用的技术有PPPoE、Portal、802 .1x等等，这正是几乎所有的IP城域网都已经做的事情。

　　其次，应当通过验证用户的接入地点来进一步确认用户身份，这样就能够有效地防范账号在不同地点的分时共享的严重问题。它有二层意思：第一，接入设备应该支持各个接入点之间的隔离。现行可用的技术主要有 PVC、VLA N、PVLAN等技术，这正是一些运营商在发展IPDSLAM时，认为一个VLAN容纳几十个甚至几百个用户，只要这些用户之间再采用PVLAN等技术隔离，就是一个可行的好方案的原因。第二，隔离信息必须参与确认用户身份的认证，这就预示着PVLAN的应用是不合理的。因此，虽然一些运营商考虑PVLAN有许多大可原谅的初衷，但的确是一个值得商榷的做法。

　　第三，应当通过验证用户的IP、MAC等数量来进一步确认用户身份。这正是一些人认为只要BAS能将M AC连同账号/密码一同上报到AAA系统，即可部分解决问题一和问题二的原因。这种设计思路是欠缺考虑的，一方面 将给用户换计算机(或者换网卡)带来不便，另一方面因为IP地址、MAC地址的可修改，难以起到预想的效果。事实上，需要确认的是仅有一台通过认证的计算机在用，因此对每一个用户报文都进行VLAN+IP+MAC的安全检查，对于防止私拉乱接问题是相当有效的，并且对防止用户的仿冒攻击也是相当有效的，这样就保证了IP城域网内不存在仿冒攻击的现象，因此对 IP城域网的网络安全具备极其重要的意义。进一步来看，由于我们已经确保了IP城域网内不存在仿冒攻击，因此我们可以快速地定位正在发生的网络攻击来源，提供用户不可抵赖的上网日志。

　　第四，应当通过检查一个用户的应用量来进一步确认用户的身份，它包含的信息不仅包括VLANID、用户 IP、MAC等信息，还包括目的IP、端口号等一系列信息，这个解决方案对于有效防范Proxy方式的非法接入是卓 有成效的。一般来说，中小企业、网吧等的宽带接入费用相对于一般公众用户高得多，因此Proxy方式成为它们行之有效的“避费”途径，给运营商造成的是高额的纯利润损失，因此特别值得运营商慎重对待。以非法网吧为例，虽然Pr oxy方式使得账号/密码、VLANID、IP、MAC等都是唯一的，不过因为网吧用户众多，需求不同，因此同一时刻需要访问大量的网站，这在一般个人用户的情况下是不会出现的。因此，我们可以通过限制一个用户能够同时(注：指某时刻处于激活状态的链接总数)访问的网站数目，从而达到有效防范Proxy方式非法接入的问题。另外，这种方式也是有效防范红色代码等网络型病毒攻击的有效手段，它可以确保IP城域网安全可靠地运行。

　　可以看出，接入设备支持每个用户的隔离、以及隔离信息的传递是IP 城域接入网络的基本需要，而接入认证及安全应用的BAS设备及Radius系统的选择则是实现设计思路的关键。华为的MA5200系列以太接入服务器设 备就是完全按照上述思路设计的BAS设备，它是业界性价比高的相关产品之一，并有齐全的产品规格可供按需选用。 (华为公司渠道运营商网络部毛志龙)

转载地址:http://www.voipchina.cn/technology/2004-03-20/36537.shtml