- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
22-MFF配置
本章節下載: 22-MFF配置 (318.08 KB)
在傳統的以太網組網方案中,為了實現不同客戶端之間的二層隔離和三層互通,通常采用在交換機上劃分VLAN的方法。但是當彼此間需要二層隔離的客戶端較多時,這種方式會占用大量的VLAN資源;同時,為實現客戶端之間三層互通,需要為每個VLAN規劃不同的IP網段,並配置VLAN接口的IP地址,因此劃分過多的VLAN會降低IP地址的分配效率。
為了改善這種現狀,MFF(MAC-Forced Forwarding,MAC強製轉發)為同一廣播域內實現客戶端間的二層隔離和三層互通,提供了一種解決方案。
MFF截獲客戶端的ARP請求報文,通過ARP代答機製,回複發送端MAC為網關MAC地址的ARP應答報文。通過這種方式,可以強製客戶端將所有流量(包括同一子網內的流量)發送到網關,使網關可以監控數據流量,防止客戶端之間的惡意攻擊,能更好的保障網絡部署的安全性。
如圖1-1所示,Switch A和Switch B作為EAN(Ethernet Access Node,以太網接入節點),提供了客戶端與彙聚節點(Switch C)之間的連接。在以太網接入節點上配置MFF功能,可以使客戶端的數據報文交互全部通過Gateway轉發,實現了客戶端之間的三層互通,又保證了二層數據的隔離,即:客戶端不會了解相互的MAC地址。
MFF通常與DHCP Snooping、ARP Snooping、IP Source Guard、ARP Detection、VLAN映射等功能配合使用,在以太網接入節點上實現客戶端的流量過濾、二層隔離和三層互通,提高接入層網絡的安全性。
關於DHCP Snooping功能的介紹,請參見“三層技術-IP業務配置指導”中的“DHCP Snooping”。關於ARP Snooping功能的介紹,請參見“三層技術-IP業務配置指導”中的“ARP Snooping”。關於IP Source Guard功能的介紹,請參見“安全配置指導”中的“IP Source Guard”。 關於ARP Detection功能的介紹,請參見“安全配置指導”中的“ARP攻擊防禦”。 關於VLAN映射功能的介紹,請參見“二層技術-以太網交換配置指導”中的“VLAN映射”。
· 客戶端與配置了MFF功能的設備之間是隔離的,即不能ping通。
· IP Source Guard靜態綁定表項和MFF配合使用時,必須配置VLAN信息。若不配置VLAN信息,符合IP Source Guard條件的IP報文在不匹配MFF網關MAC情況下也會允許通過。
· MFF不支持網關的VRRP負載均衡組網應用。
開啟MFF功能的設備上存在兩種端口角色:用戶端口及網絡端口。
MFF的用戶端口是指直接連接客戶端的端口。
用戶端口上對於不同的報文處理如下:
· 允許組播報文和DHCP報文通過;
· 對於ARP報文則上送CPU進行處理;
· 若已經學習到網關MAC地址,則僅允許目的MAC地址為網關MAC地址的單播報文通過,其他報文都將被丟棄;若沒有學習到網關MAC地址,目的MAC地址為網關MAC地址的單播報文也被丟棄。
MFF的網絡端口是指連接其他網絡設備如接入交換機、彙聚交換機、網關或服務器的端口。
網絡端口上對於不同的報文處理如下:
· 允許組播報文和DHCP報文通過;
· 對於ARP報文則上送CPU進行處理;
· 拒絕其他廣播報文通過。
上行連接網關的端口,級聯組網(多個MFF設備連接在一起的組網)時連接其他MFF設備的端口,或者環型組網時設備之間的端口,都應該配置為網絡端口。
在開啟MFF的VLAN中,隻有網絡端口支持鏈路聚合,用戶端口不支持鏈路聚合。即網絡端口可以加入鏈路聚合組,而用戶端口不能加入鏈路聚合組。關於鏈路聚合的介紹請參見“二層技術-以太網交換配置指導”中的“以太網鏈路聚合”。
· 網絡端口隻是一種端口角色,它和該端口在網絡拓撲中的位置沒有關係;換句話說,網絡端口不一定總是上行端口。
· 在開啟MFF的VLAN中,所有端口不是網絡端口就是用戶端口,不存在二者之外的端口角色。
用戶靜態配置IP地址的組網環境中,因為在用戶靜態配置IP地址時,MFF無法通過DHCP報文來獲取網關信息。另外,在用戶靜態配置IP地址時,由於沒有依據進行客戶端與網關的映射,因此僅維護缺省網關的MAC地址,即一個VLAN下僅維護一個缺省網關MAC地址。
開啟了手工方式後,MFF代答網關對客戶端的ARP請求的依據是ARP Snooping表項。
若在MFF學習到缺省網關MAC地址後,收到來自網關的、攜帶了與記錄的缺省網關MAC地址不同的源MAC地址的ARP報文,則需要更新記錄的網關MAC地址。
MFF環境下的客戶端之間的三層互通是通過ARP代答機製實現的,這種代答機製在一定程度上減少了網絡側和用戶側之間的廣播報文數量。
MFF設備對ARP報文進行如下處理:
· 代答客戶端ARP請求。代替網關給客戶端回應ARP報文,使客戶端之間的報文交互都通過網關進行三層轉發。客戶端的ARP請求,既包括對於網關的請求,也包括對於其他客戶端IP的ARP請求。
· 代答網關ARP請求。代替客戶端給網關回應ARP報文。如果網關請求的表項在MFF設備上存在,就根據表項進行代答。如果表項還沒有建立,則轉發請求。以達到減少廣播的目的。
· 轉發客戶端和網關發來的ARP應答。
· 監聽網絡中的ARP報文。更新網關IP地址和MAC地址對應表並廣播。
· RFC 4562:MAC-Forced Forwarding
要求設備開啟ARP Snooping功能。
表1-1 開啟MFF功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
開啟手工方式的MFF功能 |
mac-forced-forwarding default-gateway gateway-ip |
缺省情況下,MFF功能處於關閉狀態 |
表1-2 配置網絡端口
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入二層以太網接口視圖或者二層聚合接口視圖 |
進入二層以太網視圖 |
interface interface-type interface-number |
- |
|
進入二層聚合接口視圖 |
interface bridge-aggregation interface-number |
||
|
配置網絡端口 |
mac-forced-forwarding network-port |
缺省情況下,端口為用戶端口 |
|
對MFF維護的網關進行定時探測,可以感知網關MAC地址的變化。
對網關進行定時探測的時間間隔為30秒。探測使用偽造ARP報文,其源IP地址為0.0.0.0,源MAC地址為設備橋MAC地址。
表1-3 配置對MFF維護的網關進行定時探測
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
開啟網關定時探測功能 |
mac-forced-forwarding gateway probe |
缺省情況下,網關定時探測功能處於關閉狀態 |
如果網絡中部署了服務器,就需要在開啟MFF功能的設備的服務器列表中添加此服務器的IP地址,否則,客戶端與服務器之間不能進行通信。
服務器IP地址可以是DHCP服務器的IP地址,也可以是其他業務的服務器的IP地址或者是VRRP備份組中某個路由器的接口IP地址。
如果MFF設備的網絡端口收到了源IP地址為服務器IP地址的ARP請求,則查詢本設備記錄的用戶信息,利用查詢到的用戶信息代替客戶端應答給服務器。即客戶端發送給服務器的報文,都會通過網關進行轉發,而服務器發送給客戶端的報文,則不需經過網關轉發。
MFF不檢查服務器的IP地址和網關IP地址是否在同一個網段,隻檢查是否是全0或全1的IP地址,全0或全1的IP地址不能作為服務器IP地址進行配置。
表1-4 配置網絡中部署的服務器的IP地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
配置網絡中部署的服務器的IP地址 |
mac-forced-forwarding server server-ip&<1-10> |
缺省情況下,未配置網絡中部署的服務器的IP地址 |
為了防止MFF設備的網絡接口攔截服務器發送的ARP報文,必須將服務器發送ARP報文時填充的源IP地址加入到MFF設備的服務器IP地址列表中。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後MFF的運行情況,通過查看顯示信息驗證配置的效果。
表1-5 MFF顯示和維護
|
操作 |
命令 |
|
顯示MFF端口配置信息 |
display mac-forced-forwarding interface |
|
顯示指定VLAN的MFF信息 |
display mac-forced-forwarding vlan vlan-id |
如圖1-2所示,Host A、Host B和Host C配置靜態IP地址,所有設備都在VLAN 100內。為了實現主機之間二層隔離,同時又可以通過Gateway進行三層互通,在Switch A和Switch B上開啟手工方式MFF功能。為了實現主機與Server互通,需要手工配置網絡中部署服務器的IP地址。Switch A和Switch B通過Switch C連接到Gateway。Gateway的IP地址為10.1.1.100/24,Server和網絡相連的網卡的IP地址為10.1.1.200/24。
(1) 如圖1-2配置客戶端和Gateway的靜態IP地址
(2) 配置Switch A
# 在VLAN 100上開啟手工方式MFF功能。
[SwitchA] vlan 100
[SwitchA-vlan100] mac-forced-forwarding default-gateway 10.1.1.100
# 配置網絡中部署的服務器的IP地址為10.1.1.200。
[SwitchA-vlan100] mac-forced-forwarding server 10.1.1.200
# 在VLAN 100上開啟ARP Snooping功能。
[SwitchA-vlan100] arp snooping enable
[SwitchA-vlan100] quit
# 配置GigabitEthernet1/0/1為網絡端口。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] mac-forced-forwarding network-port
(3) 配置Switch B
# 在VLAN 100上開啟手工方式MFF功能。
[SwitchB] vlan 100
[SwitchB-vlan100] mac-forced-forwarding default-gateway 10.1.1.100
# 配置網絡中部署的服務器的IP地址為10.1.1.200。
[SwitchB-vlan100] mac-forced-forwarding server 10.1.1.200
# 在VLAN 100上開啟ARP Snooping功能。
[SwitchB-vlan100] arp snooping enable
[SwitchB-vlan100] quit
# 配置GigabitEthernet1/0/2為網絡端口。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] mac-forced-forwarding network-port
如圖1-3所示,Host A、Host B和Host C配置靜態IP地址,網絡中存在環路,所有設備都在VLAN 100內。為了實現主機之間二層隔離,同時又可以通過Gateway進行三層互通,在Switch A和Switch B上開啟手工方式MFF功能。為了實現主機與Server互通,需要手工配置網絡中部署服務器的IP地址。Switch A和Switch B通過Switch C連接到Gateway。Gateway的IP地址為10.1.1.100/24,Server和網絡相連的網卡的IP地址為10.1.1.200/24。
(1) 如圖1-3配置客戶端和Gateway的靜態IP地址
(2) 配置Switch A
# 開啟全局STP協議,保證接口下STP協議處於開啟狀態。
[SwitchA] stp global enable
# 在VLAN 100上開啟手工方式MFF功能。
[SwitchA] vlan 100
[SwitchA-vlan100] mac-forced-forwarding default-gateway 10.1.1.100
# 配置網絡中部署的服務器的IP地址為10.1.1.200。
[SwitchA-vlan100] mac-forced-forwarding server 10.1.1.200
# 在VLAN 100上開啟ARP Snooping功能。
[SwitchA-vlan100] arp snooping enable
[SwitchA-vlan100] quit
# 配置GigabitEthernet1/0/2和GigabitEthernet1/0/3為網絡端口。
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] mac-forced-forwarding network-port
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] mac-forced-forwarding network-port
(3) 配置Switch B
# 開啟全局STP協議,保證接口下STP協議處於開啟狀態。
[SwitchB] stp global enable
# 在VLAN 100上開啟手工方式MFF功能。
[SwitchB] vlan 100
[SwitchB-vlan100] mac-forced-forwarding default-gateway 10.1.1.100
# 配置網絡中部署的服務器的IP地址為10.1.1.200。
[SwitchB-vlan100] mac-forced-forwarding server 10.1.1.200
# 在VLAN 100上開啟ARP Snooping功能。
[SwitchB-vlan100] arp snooping enable
[SwitchB-vlan100] quit
# 配置GigabitEthernet1/0/1和GigabitEthernet1/0/3為網絡端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] mac-forced-forwarding network-port
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-gigabitethernet 1/0/3] mac-forced-forwarding network-port
(4) 配置Switch C
# 開啟全局STP協議,保證接口下STP協議處於開啟狀態。
<SwitchC> system-view
[SwitchC] stp global enable
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
