《S9300MFF特性介绍V100915B课件》由会员分享,可在线阅读,更多相关《S9300MFF特性介绍V100915B课件(48页珍藏版)》请在金锄头文库上搜索。
1、HUAWEI TECHNOLOGIES CO., LTDHUAWEI Confidential Security Level: S9300 MFF特性介绍ISSUE1.0HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF(Mac-Forced Forwarding)强制指定强制指定MACMAC地址转发地址转发HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 学习指南l配置指南-安全 章节名 MFF配置l特性描述-安全 章节名 MFFHUAWEI TECHNOLOGIES CO., LTD.HU
2、AWEI Confidential 学习完此课程,您将会:了解MFF的工作原理了解MFF的应用场景HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第第第1 1章章章章 MFFMFF特性协议原理特性协议原理特性协议原理特性协议原理 第第2章章 S9300中中MFF特性实现特性实现第第3章章 S9300中中MFF特性规格特性规格第第4章章 S9300中中MFF特性组网应用特性组网应用第第5章章 S9300中中MFF特性配置特性配置第第6章章 S9300中中MFF特性故障处理特性故障处理HUAWEI TECHNOLOGIES CO., LTD.HU
3、AWEI Confidential MFF特性协议原理MFF的引入l接入网络解决方案应能保证客户端主机之间的二层流量隔离,使网络流量通过网关转发,从而可以实现流量监控、计费等应用,以及保障网络环境的安全性。EAN可以将每个客户端主机看作单独的IP接口,以三层转发的方式,实现二层流量分隔。然而这种方法在IP地址紧缺的今天并非一个上佳之选。lPPPoE和VLAN per-customer两种方案都可以解决二层流量隔离问题。但是PPPoE在完成组播应用时不能充分利用以太网的广播域优势,过早的流量复制会浪费大量带宽。而VLAN per-customer方案在规模上受到VLAN总数的限制。VLAN st
4、acking虽然可以打破限制,却增加了规划的复杂性。lMFF正是一种既可以充分利用以太网的广播域优势,又没有IP地址浪费和规模限制的方案。 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理MFF简介lMFF (Mac-Forced Forwarding)为了改善这种现状,MAC-Forced Forwarding(下文统一用“MFF”替代)为同一广播域内实现客户端主机间的二层隔离和三层互通,提供了一种解决方案。MFF 截获用户的ARP 请求报文,通过ARP 代答机制,回复网关MAC 地址的ARP 应答报文。通过这种方式,可以强
5、制用户将所有流量(包括同一子网内的流量)发送到网关,使网关可以监控数据流量,防止用户之间的恶意攻击,能更好的保障网络部署的安全性。l运营商在以太网接入环境中实现二层隔离、三层互通的功能,不浪费带宽,部署规划简单,不用担心恶意攻击引起的带宽占用。l用户更安全的网络环境,不用担心恶意攻击的骚扰,更稳定的网络服务 。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理组网模型lEAN: Ethernet Access Node (以太网接入点)lAR :Access Router (接入路由器) MFF方案的应用场景方案的应用场景 HU
6、AWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理MFF原理lARP代答。l自动获取AR的IP地址和MAC地址。l静态配置网关。l网络接口和用户接口。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理ARP代答lARP代答机制保证了用户之间的三层互通,同时也减少了网络侧和用户侧之间的广播报文数量。代答用户ARP 请求。替代网关给用户主机回应ARP报文,使用户之间的报文交互都通过网关进行三层转发。用户主机的ARP请求,既包含对于网关的请求,也包含对于其他用户IP的ARP
7、请求。代答网关ARP请求。替代用户主机给网关回应ARP报文。如果网关请求的表项在MFF设备上存在,就根据表项进行代答。如果表项还没有建立,则转发请求,以便达到减少广播的目的。转发用户主机和网关发来的ARP应答。监听网络中的ARP报文。更新网关IP地址和MAC地址对应表。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理获取AR的IP和MACl如果使用DHCP服务器动态方式申请IP地址,则在使能MFF功能前,需要先使能DHCP Snooping。通过监听DHCP服务器发给用户主机的DHCPACK报文,解析Option3和Optio
8、n121字段,得到并记录用户主机需要访问的AR的IP地址,并同时记录用户主机的IP地址、MAC地址。l动态方式MFF使能后,MFF立即启动发送ARP请求过程,发送ARP请求报文的源MAC地址和源IP地址填本VLAN内第一个主机的MAC地址和IP地址,探测AR 的MAC地址。收到AR回复后,MFF模块将AR的MAC地址也记录在映射关系表中。l如果用户配置了定时探测网关的功能,则定时发送对网关的探测。定时探测的时间间隔为30秒钟。探测使用伪造ARP报文,其源IP地址和源MAC地址来自于MFF记录的用户列表。其原则是选择MFF记录的第一个用户的IP和MAC地址,若该用户表项被删除,则需要重新选择伪造
9、侦听报文的用户信息。若用户表项删除之后网关没有对应用户,则清空网关探测信息。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理配置静态网关l如果主机通过静态配置IP地址,那么在EAN上使能MFF功能时,需要配置默认AR的IP地址。EAN 同时监听AR回复给用户的ARP报文,获取AR对应的MAC 地址,形成主机与AR的映射关系表。静态配置时,每个VLAN只支持配置一个静态AR地址。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理网络接口和用户接口lMFF特性包括两
10、种端口角色:用户端口及网络端口。l1. 用户端口MFF的用户端口是指直接接入网络终端用户的端口。用户端口上MFF 对于不同的报文处理如下:允许协议报文通过;对于ARP 和DHCP 报文则上送CPU 进行处理;若已经学习到网关MAC地址,则仅允许目的MAC地址为网关MAC地址的单播报文通过,其他报文都将被丢弃;若没有学习到网关MAC地址,目的MAC地址为网关MAC地址的单播报文也被丢弃;数据组播和广播报文都不允许通过。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性协议原理网络接口和用户接口l2. 网络端口MFF的网络端口是指连接其他网
11、络设备如接入交换机、汇聚交换机或网关的端口。网络端口上对于不同的报文处理如下:允许组播报文和DHCP 报文通过;对于ARP 报文则上送CPU 进行处理;。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第1章章 MFF特性协议原理特性协议原理 第第第第2 2章章章章 S9300S9300中中中中MFFMFF特性实现特性实现特性实现特性实现第第3章章 S9300中中MFF特性规格特性规格第第4章章 S9300中中MFF特性组网应用特性组网应用第第5章章 S9300中中MFF特性配置特性配置第第6章章 S9300中中MFF特性故障处理特性故障处理
12、HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential S9300 MFF特性实现动态方式的MFFl在使能MFF功能前,需要先使能DHCP Snooping。l动态方式MFF:lDHCPSNP模块处理完DHCPACK报文,得到用户的IP和MAC信息,服务器的网关IP。这时候会调用MFF的判断函数判断网关是否满规格,不满规格才添加主机信息并且把信息传递给MFF模块。lMFF收到DHCPSNP传递的信息后,会添加主机信息和网关信息,然后立即启动发送ARP请求过程,发送ARP请求报文的源MAC地址和源IP地址填本VLAN内第一个主机的MAC地址和IP地址,探
13、测AR的MAC地址。收到AR回复后,MFF模块将AR的MAC地址也记录在映射关系表中,完善网关信息。l当动态用户发起ARP请求时,MFF实行ARP代答,用户获取AR的MAC地址。l用户在该Vlan下只能获取网关mac,流量经过网关转发。发送目的非网关的IP流全部被丢弃。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential S9300 MFF特性实现静态方式的MFFl静态方式MFF。l首先需要添加静态用户和配置静态网关。静态用户的信息至少需要有IP地址。lMFF收到用户侧口主机ARP请求后,如果发现没有该用户的主机信息,那么会查询用户的信息是否是匹配静
14、态用户表以及是否配置静态网关。如果匹配静态用户并且配置静态网关则添加这个主机信息。这时候这个ARP请求被丢弃。l当第二次静态用户的ARP请求到来的时候,主机信息已经存在,此时并没有静态网关的MAC,这时MFF把这个ARP请求在所有网络侧口广播,等待静态网关回应这个ARP请求,记录静态网关的MAC。l当MFF获取了静态网关的MAC后,静态用户发送的ARP请求就能被MFF正确的进行ARP代答,获得静态网关的MAC。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential S9300 MFF特性实现网络中部署的服务器l网络中部署的服务器网络中部署的服务器这里的
15、服务器IP地址可以是DHCP Server 的IP 地址,也可以是其他业务的服务器的IP地址或者是VRRP 的虚拟IP 地址。如果网络侧收到了源IP 地址为服务器IP 地址的ARP请求,按照对待网关的方式代答用户的请求。即,用户发送给服务器的报文,都会通过网关进行转发,而服务器发送给用户的报文,则不需经过网关转发。备注:协议中是希望服务器和AR具有相同的待遇。但S9300的实现如上面所说进行了网关代答,用户实际获取的是网关的MAC,而不是服务器的。这样做能实现功能,并且可以节省许多网关的ACL规则,节省了资源,扩大了MFF的规格。HUAWEI TECHNOLOGIES CO., LTD.HUA
16、WEI Confidential 第第1章章 MFF特性协议原理特性协议原理 第第2章章 S9300中中MFF特性实现特性实现第第第第3 3章章章章 S9300S9300中中中中MFFMFF特性规格特性规格特性规格特性规格第第4章章 S9300中中MFF特性组网应用特性组网应用第第5章章 S9300中中MFF特性配置特性配置第第6章章 S9300中中MFF特性故障处理特性故障处理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential S9300 MFF特性规格限定lS9300 MFF支持的相关规格支持的相关规格能同时使能MFF的Vlan个数:1024整
17、机支持的最大网关规格:16每个Vlan下可配置的指定服务器个数:10整机支持的MFF用户个数为:4096配置自动探测网关的探测间隔为:30秒HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第1章章 MFF特性协议原理特性协议原理 第第2章章 S9300中中MFF特性实现特性实现第第3章章 S9300中中MFF特性规格特性规格第第第第4 4章章章章 S9300S9300中中中中MFFMFF特性组网应用特性组网应用特性组网应用特性组网应用第第5章章 S9300中中MFF特性配置特性配置第第6章章 S9300中中MFF特性故障处理特性故障处理HUA
18、WEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性组网应用MFF应用场景示意图l如图:网络中部署了Internet业务、语音业务、VoD业务、BTV业务。MFF协议将用户主机所有流量定位到接入网运营商的设备AGG,实现用户网络的二层隔离,有效避免了用户私自架设组播服务器,提高了网络的安全性。同时通过AR 可实现对这些业务的统一管理和计费。图中AN 采用了多宿主技术,以保障用户网络的可靠性。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性组网应用运用于组播业务l单播视频即VoD 和组播
19、视频BTV 运行在同一VLAN 内,AN 在视频VLAN 内部署IGMP Snooping,方案部署简单,但VoD 和BTV 混跑。VoD 和BTV 分别运行在不同的VLAN 内,AN 节点部署组播VLAN 实现组播视频复制到用户的视频VLAN 内。组播业务的应用场景下,要求用户主机只能访问运营商架设的组播服务器,绝不能出现用户私自架设的组播服务器,此时MFF 的二层隔离以及组播过滤可有效的解决此类问题。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性组网应用运用于语音业务l语音业务应用场景下,要求不同用户之间拨通语音业务也不能直接通
20、过AN实现流量的转发。如果语音流量不经过AGG设备,将无法实现语音计费。此时MFF的二层隔离可有效的解决此类问题。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性组网应用运用于Internet业务lInternet业务应用场景下,要求用户之间互相访问时不能直接通过AN实现。如果Internet流量不经过AGG 设备,将无法实现Internet计费。此时MFF的二层隔离可有效的解决此类问题。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性组网应用运用于用户安全部署l在用户安全部
21、署应用场景下,AN 可以记录DHCP 中的IP 和MAC,将IP 和MAC绑定在用户端口上,对非法的ARP 报文进行过滤(ARP Inspection),通过MFF特性保证环上所有用户间二层隔离。此时,可以利用MFF 监听到的用户主机的IP和MAC 地址实现端口安全特性,进行ARP 动态检测,防止ARP 攻击与欺骗,甚至是非法主机的各种报文攻击。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 第第1章章 MFF特性协议原理特性协议原理 第第2章章 S9300中中MFF特性实现特性实现第第3章章 S9300中中MFF特性规格特性规格第第4章章 S
22、9300中中MFF特性组网应用特性组网应用第第第第5 5章章章章 S9300S9300中中中中MFFMFF特性配置特性配置特性配置特性配置第第6章章 S9300中中MFF特性故障处理特性故障处理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置l配置全局配置全局MFF# 使能全局MFF功能。 system-view Quidway mac-forced-forwarding enable # 去使能全局MFF功能。 system-view Quidway undo mac-forced-forwarding enable Warni
23、ng: All Mac-Forced Forwarding functionality will be closed.Continue? Y/N 注意:全局MFF去使能会删除MFF所有信息。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置实例:动态方式的MFFl实例说明:实例说明:如图用户通过S9300接入。S9300的GE1/0/2接口接用户;GE1/0/1接网关;用户所属Vlan为Vlan100HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置:动态MFF配置步骤l
24、配置动态配置动态MFF操作步骤操作步骤1、端口加入指定Vlan2、端口配置dhcp snooping属性3、配置MFF网络侧口属性4、Vlan使能MFF#例子中配置dhcp snooping属性 system-view Quidway interface gigabitethernet 1/0/2Quidway-GigabitEthernet1/0/2 dhcp snooping enableQuidway interface gigabitethernet 1/0/1Quidway-GigabitEthernet1/0/1 dhcp snooping trustedHUAWEI TECHNO
25、LOGIES CO., LTD.HUAWEI Confidential MFF特性配置l配置配置MFF网络侧口网络侧口# 配置GE1/0/1接口为网络接口。 system-view Quidway interface gigabitethernet 1/0/1 Quidway-GigabitEthernet1/0/1 mac-forced-forwarding network-port 。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置l配置配置VLAN下下MFF注意点:要在VLAN下使能MFF,VLAN下至少要有一个网络侧口#
26、使能VLAN100的MFF功能。 system-view Quidway vlan 100 Quidway-vlan100 mac-forced-forwarding enable 。# 去使能VLAN100的MFF功能。 system-view Quidway vlan 100 Quidway-vlan100 undo mac-forced-forwarding enable 。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置:静态方式MFFl配置静态配置静态MFF操作步骤操作步骤1、端口加入指定Vlan2、配置静态用户3、Vl
27、an使能MFF4、配置静态网关 # 配置静态用户(假设server分配地址为192.168.1.X/24)。 system-view Quidway user-bind static ip-address 192.168.1.15 vlan 100 (备注:mac和interface 信息可选填)HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置:静态方式MFFl配置配置VLAN下的静态网关下的静态网关# 在VLAN100下配置静态网关192.168.1.1。 system-view Quidway vlan 100Quidway-
28、vlan100 mac-forced-forwarding static-gateway 192.168.1.1HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置l配置配置VLAN下的网关探测功能下的网关探测功能# 在VLAN100下使能网关探测功能,用于及时发现网关mac的变化。 system-viewQuidway vlan 100Quidway-vlan100 mac-forced-forwarding gateway-detectHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential
29、 MFF特性配置l配置配置VLAN下网络中部署的服务器下网络中部署的服务器# 在VLAN100下配置一个网络服务器,IP地址为192.168.1.2。 system-view Quidway vlan 100 Quidway-vlan100 mac-forced-forwarding server 192.168.1.2HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置l查看查看MFF配置信息配置信息# 查看MFF的网络接口信息。 display mac-forced-forwarding network-port - VLAN I
30、D Network-ports - VLAN 10 GigabitEthernet4/0/0 GigabitEthernet4/0/1 GigabitEthernet4/0/2 VLAN 100 GigabitEthernet9/0/10 GigabitEthernet9/0/15 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性配置l查看查看MFF配置信息配置信息# 查看VLAN100的MFF配置信息。 display mac-forced-forwarding vlan 100 Servers: 192.168.1.2 192.1
31、68.1.3 - User IP User MAC Gateway IP Gateway MAC - 192.168.1.10 00-01-00-01-00-01 192.168.1.254 00-02-00-02-00-01 192.168.1.11 00-01-00-01-00-02 192.168.1.254 00-02-00-02-00-01 192.168.1.12 00-01-00-01-00-03 192.168.1.252 00-02-00-02-00-03 -Vlan 900 MFF host total count = 3 HUAWEI TECHNOLOGIES CO.,
32、LTD.HUAWEI Confidential 第第1章章 MFF特性协议原理特性协议原理 第第2章章 S9300中中MFF特性实现特性实现第第3章章 S9300中中MFF特性规格特性规格第第4章章 S9300中中MFF特性组网应用特性组网应用第第5章章 S9300中中MFF特性配置特性配置第第第第6 6章章章章 S9300S9300中中中中MFFMFF特性故障处理特性故障处理特性故障处理特性故障处理HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性故障处理MFF配置失败lVlan下MFF配置失败1、Error: Enabling gl
33、obal Mac-Forced Forwarding is required.全局MFF未配置,请全局配置MFF使能。2、Error: Mac-Forced Forwarding conflicts with VLANIF attribute. 该Vlan有Vlanif三层属性,MFF是二层特性,无法配置。3、Info: At least one specified network-port for the VLAN is required.配置MFF的Vlan需要至少一个网络侧口。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性故障
34、处理没有MFF主机信息动态MFF主机信息生成流程图HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性故障处理没有MFF主机信息l动态MFF方式lSNP获取信息失败或者未配置1、请查看是否在用户所在端口配置dhcp snooping enable。2、请查看dhcp snooping表项,确认是否有用户存在。lSNP表项生成但未有主机信息1、请查看用户所在端口是否加入配置了MFF的Vlan。2、隐藏模式下输入debugging mac-forced-forwarding all查看获取snp提供的信息中是否有网关IP信息。HUAWEI T
35、ECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性故障处理没有MFF主机信息l静态MFF方式l静态用户是否配置、用户IP是否为静态用户IP?1、全局试图display user-bind all查看静态用户信息。2、判断静态用户IP是否配置。lVlan下静态网关是否正确配置?1、进入指定Vlan,输入display this观察静态网关配置是否存在。2、观察静态网关和静态用户IP是否属于同一网段HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential MFF特性故障处理无法获取网关的MACl首先排除链路问题,pi
36、ng网关看是否通。MFF是2层特性,查看网关的IP和服务器分配的地址是否在一个网段。例子:SRV27-Vlanif1000dis this# interface Vlanif1000 ip address 4.3.2.1 255.255.255.0 dhcp select local#return SRV27-ip-pool-dhcp-server-1dis this# ip pool dhcp-server-1 gateway 4.3.2.1 network 4.3.0.0 mask 255.255.0.0#return HUAWEI TECHNOLOGIES CO., LTD.HUAWEI
37、 Confidential 问题l授课胶片中建议制作课间题,以便学员更好地巩固学习内容。l若课程中不涉及此类,此页版式也可用于其他版式,如:讨论、总结等。l右方灰色区域还可以根据内容设置竖排标题,或名言。长、宽可重设。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 表格序列序列内容内容备注备注1234567HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential 小结MFF在以太网接入环境中实现二层隔离、三层互通的功能,不浪费带宽,部署规划简单,不用担心恶意攻击引起的带宽占用,提供给用户更安全的网络环境,不用担心恶意攻击的骚扰,更稳定的网络服务。MFF的应用将会越来越重要。谢谢