- KHÔNG ĐƯỢC (MUST NOT)
Chương 5 KẾT QUẢ ÁP DỤNG X.805 CHO MẠNG NGN 5.1 Tóm tắt chương
5.4.1.1 Xác định cấu hình dịch vụ
Cấu hình cũng cấp dịch vụ HSI cho khách hàng cá nhân chỉ khác nhau ở miền Access với hai loại cấu hình điển hình là
Khách hàng sử dụng ADSL modem, HGW hoặc ONT kết nối tới IP DSLAM/ONU trên giao diện xDSL.
Khách hàng sử dụng HGW/ONT kết nối trực tiếp tới L2SW/OLT trên giao diện GPON hoặc Ethernet.
5.4.1.2 Miền an ninh thiết bị Access
Thiết bị thực tế trong miền này là IP DSLAM/ONU hoặc L2S/OLT
Bước 1. Ma trận lớp-mặt phẳng để phát hiện giao diện Mặt phẳng an ninh quản lý Mặt phẳng an ninh điều khiển Mặt phẳng an ninh người sử dụng Lớp an ninh các ứng dụng Lớp an ninh các dịch vụ
(1) Giao diện với hệ thống quản lý thiết bị IP
(2) Giao diện với UPE của miền MANE
(3) Giao diện IP DSLAM/ONU, L2S/OLT với miền thiết bị người Lớp an ninh cơ sở hạ
tầng
85
Hình 5.5 Cấu hình khách hàng sử dụng giao diện xDSL trên cáp đồng
Bước 2. Xử lý an ninh cho giao diện IP DSLAM/ONU, L2S/OLT với miền thiết bị người sử dụng
Bảng tổng hợp các giao thức Lớp (OSI) Giao thức
1 xDSL trên cáp đồng, GPON trên cáp quang 2 Ethernet, 802.1D (STP), CDP, ARP
Bảng tổng hợp các nguy cơ
Loại Lớp
(OSI)
Giao thức Nguy cơ Giải pháp
Destruction Lớp 1 Đôi dây đồng Đứt hoặc cắt trộm cáp Access Control Destruction Lớp 1 Tín hiệu xDSL Gây nhiễu tín hiệu Access
Control Destruction Lớp 1 Dòng điện trên
đường dây
Đặt lên đôi dây dòng điện và điện áp lớn gây hư hỏng IP SLAM/ONU
Access Control
Removal Lớp 1 Dòng điện trên đường dây
Sử dụng trái phép dòng điện trên đôi dây gây hư hỏng IP SLAM/ONU
Access Control
Destruction Lớp 1 Cáp quang Đứt hoặc cắt trộm cáp Access Control Removal Lớp 2 CDP Đánh cắp thông tin cấu hình IP
DSLAM/ONU
Access Control Corruption Lớp 2 CDP Cạn kiệt tài nguyên bộ nhớ
của IP DSLAM/ONU
Access Control Corruption Lớp 2 ARP Đầu độc bộ nhớ ARP Cache
của IP DSLAM/ONU
Access Control
Bước 3. Xử lý an ninh cho quy trình OA&M
Phần này chỉ thực hiện được khi có quy trình OA&M chi tiết cho từng mạng NGN (không thuộc phạm vi của luận văn).
Bước 4. Đưa ra các Yêu cầu an ninh IP DSLAM/ONU
DSLAM/ONU chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy (Dynamic ARP Inspection).
Đối với DSLAM của Cissco: KHÔNG kích hoạt giao thức CDP trên IP DSLAM.
L2SW/OLT
L2S/OLT chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin cậy (Dynamic ARP Inspection).
Bước 5. Đưa ra các khuyến nghị về thiết bị phụ trợ
KHÔNG cần thiết sử dụng thiết bị an ninh phụ trợ trong trường hợp này.
Bước 6.Tổng hợp giải pháp