资源预览内容
第1页 / 共48页
第2页 / 共48页
第3页 / 共48页
第4页 / 共48页
第5页 / 共48页
第6页 / 共48页
第7页 / 共48页
第8页 / 共48页
第9页 / 共48页
第10页 / 共48页
亲,该文档总共48页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
HUAWEI TECHNOLOGIES CO., LTD.www.huawei.comHUAWEI Confidential Security Level: S9300 MFF特性介绍ISSUE1.0HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF(Mac-Forced Forwarding)强制指定强制指定MACMAC地址转发地址转发HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 学习指南l配置指南-安全 章节名 MFF配置l特性描述-安全 章节名 MFFHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 学习完此课程,您将会:了解MFF的工作原理了解MFF的应用场景HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第第第1 1章章章章 MFFMFF特性协议原理特性协议原理特性协议原理特性协议原理 第第2章章 S9300中中MFF特性实现特性实现第第3章章 S9300中中MFF特性规格特性规格第第4章章 S9300中中MFF特性组网应用特性组网应用第第5章章 S9300中中MFF特性配置特性配置第第6章章 S9300中中MFF特性故障处理特性故障处理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理MFF的引入l接入网络解决方案应能保证客户端主机之间的二层流量隔离,使网络流量通过网关转发,从而可以实现流量监控、计费等应用,以及保障网络环境的安全性。EAN可以将每个客户端主机看作单独的IP接口,以三层转发的方式,实现二层流量分隔。然而这种方法在IP地址紧缺的今天并非一个上佳之选。lPPPoE和VLAN per-customer两种方案都可以解决二层流量隔离问题。但是PPPoE在完成组播应用时不能充分利用以太网的广播域优势,过早的流量复制会浪费大量带宽。而VLAN per-customer方案在规模上受到VLAN总数的限制。VLAN stacking虽然可以打破限制,却增加了规划的复杂性。lMFF正是一种既可以充分利用以太网的广播域优势,又没有IP地址浪费和规模限制的方案。 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理MFF简介lMFF (Mac-Forced Forwarding)为了改善这种现状,MAC-Forced Forwarding(下文统一用“MFF”替代)为同一广播域内实现客户端主机间的二层隔离和三层互通,提供了一种解决方案。MFF 截获用户的ARP 请求报文,通过ARP 代答机制,回复网关MAC 地址的ARP 应答报文。通过这种方式,可以强制用户将所有流量(包括同一子网内的流量)发送到网关,使网关可以监控数据流量,防止用户之间的恶意攻击,能更好的保障网络部署的安全性。l运营商在以太网接入环境中实现二层隔离、三层互通的功能,不浪费带宽,部署规划简单,不用担心恶意攻击引起的带宽占用。l用户更安全的网络环境,不用担心恶意攻击的骚扰,更稳定的网络服务 。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理组网模型lEAN: Ethernet Access Node (以太网接入点)lAR :Access Router (接入路由器) MFF方案的应用场景方案的应用场景 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理MFF原理lARP代答。l自动获取AR的IP地址和MAC地址。l静态配置网关。l网络接口和用户接口。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理ARP代答lARP代答机制保证了用户之间的三层互通,同时也减少了网络侧和用户侧之间的广播报文数量。代答用户ARP 请求。替代网关给用户主机回应ARP报文,使用户之间的报文交互都通过网关进行三层转发。用户主机的ARP请求,既包含对于网关的请求,也包含对于其他用户IP的ARP请求。代答网关ARP请求。替代用户主机给网关回应ARP报文。如果网关请求的表项在MFF设备上存在,就根据表项进行代答。如果表项还没有建立,则转发请求,以便达到减少广播的目的。转发用户主机和网关发来的ARP应答。监听网络中的ARP报文。更新网关IP地址和MAC地址对应表。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理获取AR的IP和MACl如果使用DHCP服务器动态方式申请IP地址,则在使能MFF功能前,需要先使能DHCP Snooping。通过监听DHCP服务器发给用户主机的DHCPACK报文,解析Option3和Option121字段,得到并记录用户主机需要访问的AR的IP地址,并同时记录用户主机的IP地址、MAC地址。l动态方式MFF使能后,MFF立即启动发送ARP请求过程,发送ARP请求报文的源MAC地址和源IP地址填本VLAN内第一个主机的MAC地址和IP地址,探测AR 的MAC地址。收到AR回复后,MFF模块将AR的MAC地址也记录在映射关系表中。l如果用户配置了定时探测网关的功能,则定时发送对网关的探测。定时探测的时间间隔为30秒钟。探测使用伪造ARP报文,其源IP地址和源MAC地址来自于MFF记录的用户列表。其原则是选择MFF记录的第一个用户的IP和MAC地址,若该用户表项被删除,则需要重新选择伪造侦听报文的用户信息。若用户表项删除之后网关没有对应用户,则清空网关探测信息。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理配置静态网关l如果主机通过静态配置IP地址,那么在EAN上使能MFF功能时,需要配置默认AR的IP地址。EAN 同时监听AR回复给用户的ARP报文,获取AR对应的MAC 地址,形成主机与AR的映射关系表。静态配置时,每个VLAN只支持配置一个静态AR地址。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理网络接口和用户接口lMFF特性包括两种端口角色:用户端口及网络端口。l1. 用户端口MFF的用户端口是指直接接入网络终端用户的端口。用户端口上MFF 对于不同的报文处理如下:允许协议报文通过;对于ARP 和DHCP 报文则上送CPU 进行处理;若已经学习到网关MAC地址,则仅允许目的MAC地址为网关MAC地址的单播报文通过,其他报文都将被丢弃;若没有学习到网关MAC地址,目的MAC地址为网关MAC地址的单播报文也被丢弃;数据组播和广播报文都不允许通过。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理网络接口和用户接口l2. 网络端口MFF的网络端口是指连接其他网络设备如接入交换机、汇聚交换机或网关的端口。网络端口上对于不同的报文处理如下:允许组播报文和DHCP 报文通过;对于ARP 报文则上送CPU 进行处理;。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第1章章 MFF特性协议原理特性协议原理 第第第第2 2章章章章 S9300S9300中中中中MFFMFF特性实现特性实现特性实现特性实现第第3章章 S9300中中MFF特性规格特性规格第第4章章 S9300中中MFF特性组网应用特性组网应用第第5章章 S9300中中MFF特性配置特性配置第第6章章 S9300中中MFF特性故障处理特性故障处理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential S9300 MFF特性实现动态方式的MFFl在使能MFF功能前,需要先使能DHCP Snooping。l动态方式MFF:lDHCPSNP模块处理完DHCPACK报文,得到用户的IP和MAC信息,服务器的网关IP。这时候会调用MFF的判断函数判断网关是否满规格,不满规格才添加主机信息并且把信息传递给MFF模块。lMFF收到DHCPSNP传递的信息后,会添加主机信息和网关信息,然后立即启动发送ARP请求过程,发送ARP请求报文的源MAC地址和源IP地址填本VLAN内第一个主机的MAC地址和IP地址,探测AR的MAC地址。收到AR回复后,MFF模块将AR的MAC地址也记录在映射关系表中,完善网关信息。l当动态用户发起ARP请求时,MFF实行ARP代答,用户获取AR的MAC地址。l用户在该Vlan下只能获取网关mac,流量经过网关转发。发送目的非网关的IP流全部被丢弃。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential S9300 MFF特性实现静态方式的MFFl静态方式MFF。l首先需要添加静态用户和配置静态网关。静态用户的信息至少需要有IP地址。lMFF收到用户侧口主机ARP请求后,如果发现没有该用户的主机信息,那么会查询用户的信息是否是匹配静态用户表以及是否配置静态网关。如果匹配静态用户并且配置静态网关则添加这个主机信息。这时候这个ARP请求被丢弃。l当第二次静态用户的ARP请求到来的时候,主机信息已经存在,此时并没有静态网关的MAC,这时MFF把这个ARP请求在所有网络侧口广播,等待静态网关回应这个ARP请求,记录静态网关的MAC。l当MFF获取了静态网关的MAC后,静态用户发送的ARP请求就能被MFF正确的进行ARP代答,获得静态网关的MAC。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential S9300 MFF特性实现网络中部署的服务器l网络中部署的服务器网络中部署的服务器这里的服务器IP地址可以是DHCP Server 的IP 地址,也可以是其他业务的服务器的IP地址或者是VRRP 的虚拟IP 地址。如果网络侧收到了源IP 地址为服务器IP 地址的ARP请求,按照对待网关的方式代答用户的请求。即,用户发送给服务器的报文,都会通过网关进行转发,而服务器发送给用户的报文,则不需经过网关转发。备注:协议中是希望服务器和AR具有相同的待遇。但S9300的实现如上面所说进行了网关代答,用户实际获取的是网关的MAC,而不是服务器的。这样做能实现功能,并且可以节省许多网关的ACL规则,节省了资源,扩大了MFF的规格。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第1章章 MFF特性协议原理特性协议原理 第第2章章 S9300中中MFF特性实现特性实现第第第第3 3章章章章 S9300S9300中中中中MFFMFF特性规格特性规格特性规格特性规格第第4章章 S9300中中MFF特性组网应用特性组网应用第第5章章 S9300中中MFF特性配置特性配置第第6章章 S9300中中MFF特性故障处理特性故障处理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential S9300 MFF特性规格限定lS9300 MFF支持的相关规格支持的相关规格能同时使能MFF的Vlan个数:1024整机支持的最大网关规格:16每个Vlan下可配置的指定服务器个数:10整机支持的MFF用户个数为:4096配置自动探测网关的探测间隔为:30秒HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第1章章 MFF特性协议原理特性协议原理 第第2章章 S9300中中MFF特性实现特性实现第第3章章 S9300中中MFF特性规格特性规格第第第第4 4章章章章 S9300S9300中中中中MFFMFF特性组网应用特性组网应用特性组网应用特性组网应用第第5章章 S9300中中MFF特性配置特性配置第第6章章 S9300中中MFF特性故障处理特性故障处理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性组网应用MFF应用场景示意图l如图:网络中部署了Internet业务、语音业务、VoD业务、BTV业务。MFF协议将用户主机所有流量定位到接入网运营商的设备AGG,实现用户网络的二层隔离,有效避免了用户私自架设组播服务器,提高了网络的安全性。同时通过AR 可实现对这些业务的统一管理和计费。图中AN 采用了多宿主技术,以保障用户网络的可靠性。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性组网应用运用于组播业务l单播视频即VoD 和组播视频BTV 运行在同一VLAN 内,AN 在视频VLAN 内部署IGMP Snooping,方案部署简单,但VoD 和BTV 混跑。VoD 和BTV 分别运行在不同的VLAN 内,AN 节点部署组播VLAN 实现组播视频复制到用户的视频VLAN 内。组播业务的应用场景下,要求用户主机只能访问运营商架设的组播服务器,绝不能出现用户私自架设的组播服务器,此时MFF 的二层隔离以及组播过滤可有效的解决此类问题。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性组网应用运用于语音业务l语音业务应用场景下,要求不同用户之间拨通语音业务也不能直接通过AN实现流量的转发。如果语音流量不经过AGG设备,将无法实现语音计费。此时MFF的二层隔离可有效的解决此类问题。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性组网应用运用于Internet业务lInternet业务应用场景下,要求用户之间互相访问时不能直接通过AN实现。如果Internet流量不经过AGG 设备,将无法实现Internet计费。此时MFF的二层隔离可有效的解决此类问题。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性组网应用运用于用户安全部署l在用户安全部署应用场景下,AN 可以记录DHCP 中的IP 和MAC,将IP 和MAC绑定在用户端口上,对非法的ARP 报文进行过滤(ARP Inspection),通过MFF特性保证环上所有用户间二层隔离。此时,可以利用MFF 监听到的用户主机的IP和MAC 地址实现端口安全特性,进行ARP 动态检测,防止ARP 攻击与欺骗,甚至是非法主机的各种报文攻击。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第1章章 MFF特性协议原理特性协议原理 第第2章章 S9300中中MFF特性实现特性实现第第3章章 S9300中中MFF特性规格特性规格第第4章章 S9300中中MFF特性组网应用特性组网应用第第第第5 5章章章章 S9300S9300中中中中MFFMFF特性配置特性配置特性配置特性配置第第6章章 S9300中中MFF特性故障处理特性故障处理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置l配置全局配置全局MFF# 使能全局MFF功能。 system-view Quidway mac-forced-forwarding enable # 去使能全局MFF功能。 system-view Quidway undo mac-forced-forwarding enable Warning: All Mac-Forced Forwarding functionality will be closed.Continue? Y/N 注意:全局MFF去使能会删除MFF所有信息。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置实例:动态方式的MFFl实例说明:实例说明:如图用户通过S9300接入。S9300的GE1/0/2接口接用户;GE1/0/1接网关;用户所属Vlan为Vlan100HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置:动态MFF配置步骤l配置动态配置动态MFF操作步骤操作步骤1、端口加入指定Vlan2、端口配置dhcp snooping属性3、配置MFF网络侧口属性4、Vlan使能MFF#例子中配置dhcp snooping属性 system-view Quidway interface gigabitethernet 1/0/2Quidway-GigabitEthernet1/0/2 dhcp snooping enableQuidway interface gigabitethernet 1/0/1Quidway-GigabitEthernet1/0/1 dhcp snooping trustedHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置l配置配置MFF网络侧口网络侧口# 配置GE1/0/1接口为网络接口。 system-view Quidway interface gigabitethernet 1/0/1 Quidway-GigabitEthernet1/0/1 mac-forced-forwarding network-port 。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置l配置配置VLAN下下MFF注意点:要在VLAN下使能MFF,VLAN下至少要有一个网络侧口# 使能VLAN100的MFF功能。 system-view Quidway vlan 100 Quidway-vlan100 mac-forced-forwarding enable 。# 去使能VLAN100的MFF功能。 system-view Quidway vlan 100 Quidway-vlan100 undo mac-forced-forwarding enable 。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置:静态方式MFFl配置静态配置静态MFF操作步骤操作步骤1、端口加入指定Vlan2、配置静态用户3、Vlan使能MFF4、配置静态网关 # 配置静态用户(假设server分配地址为192.168.1.X/24)。 system-view Quidway user-bind static ip-address 192.168.1.15 vlan 100 (备注:mac和interface 信息可选填)HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置:静态方式MFFl配置配置VLAN下的静态网关下的静态网关# 在VLAN100下配置静态网关192.168.1.1。 system-view Quidway vlan 100Quidway-vlan100 mac-forced-forwarding static-gateway 192.168.1.1HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置l配置配置VLAN下的网关探测功能下的网关探测功能# 在VLAN100下使能网关探测功能,用于及时发现网关mac的变化。 system-viewQuidway vlan 100Quidway-vlan100 mac-forced-forwarding gateway-detectHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置l配置配置VLAN下网络中部署的服务器下网络中部署的服务器# 在VLAN100下配置一个网络服务器,IP地址为192.168.1.2。 system-view Quidway vlan 100 Quidway-vlan100 mac-forced-forwarding server 192.168.1.2HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置l查看查看MFF配置信息配置信息# 查看MFF的网络接口信息。 display mac-forced-forwarding network-port - VLAN ID Network-ports - VLAN 10 GigabitEthernet4/0/0 GigabitEthernet4/0/1 GigabitEthernet4/0/2 VLAN 100 GigabitEthernet9/0/10 GigabitEthernet9/0/15 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置l查看查看MFF配置信息配置信息# 查看VLAN100的MFF配置信息。 display mac-forced-forwarding vlan 100 Servers: 192.168.1.2 192.168.1.3 - User IP User MAC Gateway IP Gateway MAC - 192.168.1.10 00-01-00-01-00-01 192.168.1.254 00-02-00-02-00-01 192.168.1.11 00-01-00-01-00-02 192.168.1.254 00-02-00-02-00-01 192.168.1.12 00-01-00-01-00-03 192.168.1.252 00-02-00-02-00-03 -Vlan 900 MFF host total count = 3 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第1章章 MFF特性协议原理特性协议原理 第第2章章 S9300中中MFF特性实现特性实现第第3章章 S9300中中MFF特性规格特性规格第第4章章 S9300中中MFF特性组网应用特性组网应用第第5章章 S9300中中MFF特性配置特性配置第第第第6 6章章章章 S9300S9300中中中中MFFMFF特性故障处理特性故障处理特性故障处理特性故障处理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性故障处理MFF配置失败lVlan下MFF配置失败1、Error: Enabling global Mac-Forced Forwarding is required.全局MFF未配置,请全局配置MFF使能。2、Error: Mac-Forced Forwarding conflicts with VLANIF attribute. 该Vlan有Vlanif三层属性,MFF是二层特性,无法配置。3、Info: At least one specified network-port for the VLAN is required.配置MFF的Vlan需要至少一个网络侧口。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性故障处理没有MFF主机信息动态MFF主机信息生成流程图HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性故障处理没有MFF主机信息l动态MFF方式lSNP获取信息失败或者未配置1、请查看是否在用户所在端口配置dhcp snooping enable。2、请查看dhcp snooping表项,确认是否有用户存在。lSNP表项生成但未有主机信息1、请查看用户所在端口是否加入配置了MFF的Vlan。2、隐藏模式下输入debugging mac-forced-forwarding all查看获取snp提供的信息中是否有网关IP信息。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性故障处理没有MFF主机信息l静态MFF方式l静态用户是否配置、用户IP是否为静态用户IP?1、全局试图display user-bind all查看静态用户信息。2、判断静态用户IP是否配置。lVlan下静态网关是否正确配置?1、进入指定Vlan,输入display this观察静态网关配置是否存在。2、观察静态网关和静态用户IP是否属于同一网段HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性故障处理无法获取网关的MACl首先排除链路问题,ping网关看是否通。MFF是2层特性,查看网关的IP和服务器分配的地址是否在一个网段。例子:SRV27-Vlanif1000dis this# interface Vlanif1000 ip address 4.3.2.1 255.255.255.0 dhcp select local#return SRV27-ip-pool-dhcp-server-1dis this# ip pool dhcp-server-1 gateway 4.3.2.1 network 4.3.0.0 mask 255.255.0.0#return HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 问题l授课胶片中建议制作课间题,以便学员更好地巩固学习内容。l若课程中不涉及此类,此页版式也可用于其他版式,如:讨论、总结等。l右方灰色区域还可以根据内容设置竖排标题,或名言。长、宽可重设。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 表格序列序列内容内容备注备注1234567HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 小结MFF在以太网接入环境中实现二层隔离、三层互通的功能,不浪费带宽,部署规划简单,不用担心恶意攻击引起的带宽占用,提供给用户更安全的网络环境,不用担心恶意攻击的骚扰,更稳定的网络服务。MFF的应用将会越来越重要。谢谢
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号