- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
20-MFF配置
本章節下載: 20-MFF配置 (287.38 KB)
目 錄
MFF(MAC-Forced Forwarding,MAC強製轉發)可實現廣播域內終端設備間的二層隔離和三層互通而無須劃分VLAN或為每個VLAN規劃不同的IP網段。MFF通過ARP代答機製,強製終端設備將所有流量(包括同一子網內的流量)發送到網關,使網關可以監控數據流量,防止終端設備之間的惡意攻擊。
如圖1-1所示,Switch A和Switch B作為EAN(Ethernet Access Node,以太網接入節點),提供了終端設備與彙聚節點(Switch C)之間的連接。在以太網接入節點上配置MFF功能,可以使終端設備的數據報文交互全部通過Gateway轉發,實現了終端設備之間的三層互通,又保證了二層數據的隔離,即:終端設備不會了解相互的MAC地址。
MFF通常與其他功能配合使用,在以太網接入節點上實現終端設備的流量過濾、二層隔離和三層互通,提高接入層網絡的安全性。和MFF配合使用的特性包括:
· ARP Snooping,關於ARP Snooping功能的介紹,請參見“三層技術-IP業務配置指導”中的“ARP Snooping”。
· IP Source Guard,關於IP Source Guard功能的介紹,請參見“安全配置指導”中的“IP Source Guard”。
· ARP Detection,關於ARP Detection功能的介紹,請參見“安全配置指導”中的“ARP Detection”。
· VLAN映射,關於VLAN映射功能的介紹,請參見“二層技術-以太網交換配置指導”中的“VLAN映射”。
設備上開啟MFF功能的VLAN內存在兩種端口角色:用戶端口及網絡端口。
MFF的用戶端口是指直接連接終端設備的端口。
用戶端口上對於不同的報文處理如下:
· 允許組播報文通過;
· 對於ARP報文則上送CPU進行處理;
· 對於單播報文,處理如下:
¡ 若已經學習到網關MAC地址,則僅允許目的MAC地址為網關MAC地址的單播報文通過,其他報文都將被丟棄;
¡ 若沒有學習到網關MAC地址,所有單播報文都將被丟棄。
MFF的網絡端口是指連接其他網絡設備如接入交換機、彙聚交換機、網關或服務器的端口。
網絡端口上對於不同的報文處理如下:
· 允許組播報文通過;
· 對於ARP報文則上送CPU進行處理;
· 拒絕其他廣播報文通過。
MFF環境下的終端設備之間的三層互通是通過ARP代答機製實現的,這種代答機製在一定程度上減少了網絡側和用戶側之間的廣播報文數量。
MFF設備對ARP報文進行如下處理:
· 代答終端設備ARP請求。代替網關給終端設備回應ARP報文,使終端設備之間的報文交互都通過網關進行三層轉發。終端設備的ARP請求,既包括對於網關的請求,也包括對於其他終端設備IP的ARP請求。
· 代答網關ARP請求。代替終端設備給網關回應ARP報文。如果網關請求的表項在MFF設備上存在,就根據表項進行代答。如果表項還沒有建立,則轉發請求。以達到減少廣播的目的。
· 轉發終端設備和網關發來的ARP應答。
· 監聽網絡中的ARP報文。更新網關IP地址和MAC地址對應表並廣播。
MFF隻適用於用戶靜態配置IP地址的組網環境,因此MFF無法通過DHCP報文自動獲取網關信息,隻能通過配置mac-forced-forwarding default-gateway命令手工指定缺省網關。MFF在一個VLAN下隻支持維護一個缺省網關。當MFF學習到缺省網關的MAC地址後,如果收到來自缺省網關的ARP報文中的源MAC地址與當前記錄的缺省網關MAC地址不同,MFF會自動更新記錄的缺省網關MAC地址。
· RFC 4562:MAC-Forced Forwarding
MFF配置任務如下:
(1) 開啟MFF功能
(2) 配置網絡端口
(3) (可選)配置對MFF維護的網關進行定時探測
(4) 配置網絡中部署的服務器的IP地址
如果網絡中部署了服務器,就需要在開啟MFF功能的設備的服務器列表中添加此服務器的IP地址,否則,終端設備與服務器之間不能進行通信。
· 終端設備與配置了MFF功能的設備之間是隔離的,即不能ping通。
· IP Source Guard靜態綁定表項和MFF配合使用時,必須配置VLAN信息。若不配置VLAN信息,符合IP Source Guard條件的IP報文在不匹配MFF網關MAC情況下也會允許通過。
· MFF不支持網關的VRRPE組網應用。
在開啟MFF的VLAN中需要同時開啟ARP Snooping功能,以便MFF根據ARP Snooping表項應答終端用戶的ARP請求。
(1) 進入係統視圖。
system-view
(2) 進入VLAN視圖。
vlan vlan-id
(3) 開啟MFF功能。
mac-forced-forwarding default-gateway gateway-ip
缺省情況下,MFF功能處於關閉狀態。
開啟MFF的VLAN內,設備上行連接網關的端口以及連接其他MFF設備的端口,都應該配置為網絡端口。
在開啟MFF的VLAN內,隻有網絡端口支持鏈路聚合,用戶端口不支持鏈路聚合。即網絡端口可以加入鏈路聚合組,而用戶端口不能加入鏈路聚合組。關於鏈路聚合的介紹請參見“二層技術-以太網交換配置指導”中的“以太網鏈路聚合”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置網絡端口。
mac-forced-forwarding network-port
缺省情況下,端口為用戶端口。
對MFF維護的網關進行定時探測,可以感知網關MAC地址的變化。
對網關進行定時探測的時間間隔為30秒。探測使用偽造ARP報文,其源IP地址為0.0.0.0,源MAC地址為設備橋MAC地址。
(1) 進入係統視圖。
system-view
(2) 進入VLAN視圖。
vlan vlan-id
(3) 開啟網關定時探測功能。
mac-forced-forwarding gateway probe
缺省情況下,網關定時探測功能處於關閉狀態。
服務器IP地址可以是VRRP備份組中某個路由器的接口IP地址,也可以是相關業務的服務器的IP地址(如RADIUS服務器)。
如果MFF設備的網絡端口收到了源IP地址為服務器IP地址的ARP請求,則查詢本設備記錄的用戶信息,利用查詢到的用戶信息代替客戶端應答給服務器。即客戶端發送給服務器的報文,都會通過網關進行轉發,而服務器發送給終端設備的報文,則不需經過網關轉發。
MFF不檢查服務器的IP地址和網關IP地址是否在同一個網段,隻檢查是否是全0或全1的IP地址,全0或全1的IP地址不能作為服務器IP地址進行配置。
為了防止MFF設備的網絡接口攔截服務器發送的ARP報文,必須將服務器發送ARP報文時填充的源IP地址加入到MFF設備的服務器IP地址列表中。
(1) 進入係統視圖。
system-view
(2) 進入VLAN視圖。
vlan vlan-id
(3) 配置網絡中部署的服務器的IP地址。
mac-forced-forwarding server server-ip&<1-10>
缺省情況下,未配置網絡中部署的服務器的IP地址。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後MFF的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 MFF顯示和維護
|
操作 |
命令 |
|
顯示MFF端口配置信息 |
display mac-forced-forwarding interface |
|
顯示指定VLAN的MFF信息 |
display mac-forced-forwarding vlan vlan-id |
如圖1-2所示,Host A、Host B和Host C配置靜態IP地址,所有設備都在VLAN 100內。為了實現主機之間二層隔離,同時又可以通過Gateway進行三層互通,在Switch A和Switch B上開啟MFF功能。為了實現主機與Server互通,需要手工配置網絡中部署服務器的IP地址。Switch A和Switch B通過Switch C連接到Gateway。Gateway的IP地址為10.1.1.100/24,Server和網絡相連的網卡的IP地址為10.1.1.200/24。
(1) 如圖1-2配置客戶端和Gateway的靜態IP地址
(2) 配置Switch A
# 在VLAN 100上開啟MFF功能。
[SwitchA] vlan 100
[SwitchA-vlan100] mac-forced-forwarding default-gateway 10.1.1.100
# 配置網絡中部署的服務器的IP地址為10.1.1.200。
[SwitchA-vlan100] mac-forced-forwarding server 10.1.1.200
# 在VLAN 100上開啟ARP Snooping功能。
[SwitchA-vlan100] arp snooping enable
[SwitchA-vlan100] quit
# 配置GigabitEthernet1/0/1為網絡端口。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] mac-forced-forwarding network-port
(3) 配置Switch B
# 在VLAN 100上開啟MFF功能。
[SwitchB] vlan 100
[SwitchB-vlan100] mac-forced-forwarding default-gateway 10.1.1.100
# 配置網絡中部署的服務器的IP地址為10.1.1.200。
[SwitchB-vlan100] mac-forced-forwarding server 10.1.1.200
# 在VLAN 100上開啟ARP Snooping功能。
[SwitchB-vlan100] arp snooping enable
[SwitchB-vlan100] quit
# 配置GigabitEthernet1/0/2為網絡端口。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] mac-forced-forwarding network-port
如圖1-3所示,Host A、Host B和Host C配置靜態IP地址,網絡中存在環路,所有設備都在VLAN 100內。為了實現主機之間二層隔離,同時又可以通過Gateway進行三層互通,在Switch A和Switch B上開啟MFF功能。為了實現主機與Server互通,需要手工配置網絡中部署服務器的IP地址。Switch A和Switch B通過Switch C連接到Gateway。Gateway的IP地址為10.1.1.100/24,Server和網絡相連的網卡的IP地址為10.1.1.200/24。
(1) 如圖1-3配置客戶端和Gateway的靜態IP地址
(2) 配置Switch A
# 開啟全局STP協議,保證接口下STP協議處於開啟狀態。
[SwitchA] stp global enable
# 在VLAN 100上開啟MFF功能。
[SwitchA] vlan 100
[SwitchA-vlan100] mac-forced-forwarding default-gateway 10.1.1.100
# 配置網絡中部署的服務器的IP地址為10.1.1.200。
[SwitchA-vlan100] mac-forced-forwarding server 10.1.1.200
# 在VLAN 100上開啟ARP Snooping功能。
[SwitchA-vlan100] arp snooping enable
[SwitchA-vlan100] quit
# 配置GigabitEthernet1/0/2和GigabitEthernet1/0/3為網絡端口。
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] mac-forced-forwarding network-port
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] mac-forced-forwarding network-port
(3) 配置Switch B
# 開啟全局STP協議,保證接口下STP協議處於開啟狀態。
[SwitchB] stp global enable
# 在VLAN 100上開啟MFF功能。
[SwitchB] vlan 100
[SwitchB-vlan100] mac-forced-forwarding default-gateway 10.1.1.100
# 配置網絡中部署的服務器的IP地址為10.1.1.200。
[SwitchB-vlan100] mac-forced-forwarding server 10.1.1.200
# 在VLAN 100上開啟ARP Snooping功能。
[SwitchB-vlan100] arp snooping enable
[SwitchB-vlan100] quit
# 配置GigabitEthernet1/0/1和GigabitEthernet1/0/3為網絡端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] mac-forced-forwarding network-port
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-gigabitethernet 1/0/3] mac-forced-forwarding network-port
(4) 配置Switch C
# 開啟全局STP協議,保證接口下STP協議處於開啟狀態。
<SwitchC> system-view
[SwitchC] stp global enable
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
