S9300_MFF特性介绍_V1.0-20090915-B.pptVIP

S9300 MFF特性介绍 ISSUE1.0 学习指南 配置指南-安全 章节名 MFF配置 特性描述-安全 章节名 MFF 学习完此课程，您将会： 了解MFF的工作原理 了解MFF的应用场景 MFF特性协议原理－MFF的引入 接入网络解决方案应能保证客户端主机之间的二层流量隔离，使网络流量通过网关转发，从而可以实现流量监控、计费等应用，以及保障网络环境的安全性。EAN可以将每个客户端主机看作单独的IP接口，以三层转发的方式，实现二层流量分隔。然而这种方法在IP地址紧缺的今天并非一个上佳之选。 PPPoE和VLAN per-customer两种方案都可以解决二层流量隔离问题。但是PPPoE在完成组播应用时不能充分利用以太网的广播域优势，过早的流量复制会浪费大量带宽。而VLAN per-customer方案在规模上受到VLAN总数的限制。VLAN stacking虽然可以打破限制，却增加了规划的复杂性。 MFF正是一种既可以充分利用以太网的广播域优势，又没有IP地址浪费和规模限制的方案。 MFF特性协议原理－MFF简介 MFF (Mac-Forced Forwarding) 为了改善这种现状，MAC-Forced Forwarding（下文统一用“MFF”替代）为同一广播域内实现客户端主机间的二层隔离和三层互通，提供了一种解决方案。MFF 截获用户的ARP 请求报文，通过ARP 代答机制，回复网关MAC 地址的ARP 应答报文。通过这种方式，可以强制用户将所有流量（包括同一子网内的流量）发送到网关，使网关可以监控数据流量，防止用户之间的恶意攻击，能更好的保障网络部署的安全性。 运营商 在以太网接入环境中实现二层隔离、三层互通的功能，不浪费带宽，部署规划简单，不用担心恶意攻击引起的带宽占用。 用户 更安全的网络环境，不用担心恶意攻击的骚扰，更稳定的网络服务 。 MFF特性协议原理－组网模型 EAN： Ethernet Access Node （以太网接入点） AR ：Access Router （接入路由器） MFF特性协议原理－MFF原理 ARP代答。 自动获取AR的IP地址和MAC地址。 静态配置网关。 网络接口和用户接口。 MFF特性协议原理－ARP代答 ARP代答机制保证了用户之间的三层互通，同时也减少了网络侧和用户侧之间的广播报文数量。 代答用户ARP 请求。替代网关给用户主机回应ARP报文，使用户之间的报文交互都通过网关进行三层转发。用户主机的ARP请求，既包含对于网关的请求，也包含对于其他用户IP的ARP请求。 代答网关ARP请求。替代用户主机给网关回应ARP报文。如果网关请求的表项在MFF设备上存在，就根据表项进行代答。如果表项还没有建立，则转发请求,以便达到减少广播的目的。 转发用户主机和网关发来的ARP应答。 监听网络中的ARP报文。更新网关IP地址和MAC地址对应表。 MFF特性协议原理－获取AR的IP和MAC 如果使用DHCP服务器动态方式申请IP地址，则在使能MFF功能前，需要先使能DHCP Snooping。通过监听DHCP服务器发给用户主机的DHCPACK报文，解析Option3和Option121字段，得到并记录用户主机需要访问的AR的IP地址，并同时记录用户主机的IP地址、MAC地址。 动态方式MFF使能后，MFF立即启动发送ARP请求过程，发送ARP请求报文的源MAC地址和源IP地址填本VLAN内第一个主机的MAC地址和IP地址，探测AR 的MAC地址。收到AR回复后，MFF模块将AR的MAC地址也记录在映射关系表中。 如果用户配置了定时探测网关的功能，则定时发送对网关的探测。定时探测的时间间隔为30秒钟。探测使用伪造ARP报文，其源IP地址和源MAC地址来自于MFF记录的用户列表。其原则是选择MFF记录的第一个用户的IP和MAC地址，若该用户表项被删除，则需要重新选择伪造侦听报文的用户信息。若用户表项删除之后网关没有对应用户，则清空网关探测信息。 MFF特性协议原理－配置静态网关 如果主机通过静态配置IP地址，那么在EAN上使能MFF功能时，需要配置默认AR的IP地址。EAN 同时监听AR回复给用户的ARP报文，获取AR对应的MAC 地址，形成主机与AR的映射关系表。静态配置时，每个VLAN只支持配置一个静态AR地址。 MFF特性协议原理－网络接口和用户接口 MFF特性包括两种端口角色：用户端口及网络端口。 1. 用户端口 MFF的用户端口是指直接接入网络终端用户的端口。 用户端口上MFF 对于不同的报文处理如下： 允许协议报文通过； 对于ARP 和DHCP 报文则上送CPU 进行处理； 若已经学习到网关MAC地址，则仅允许目的MAC地址为网关MAC地址的单播报文通过