当前位置:文档之家 › 华为数据中心5800交换机01-06 MFF配置

华为数据中心5800交换机01-06 MFF配置

  • 格式:pdf
  • 大小:669.54 KB
  • 文档页数:21

下载文档原格式

  / 21

合集下载

华为数据中心5800交换机01-01 接口基础配置

华为数据中心5800交换机01-01 接口基础配置

1接口基础配置关于本章1.1 接口简介通过本小节,您可以了解到设备的接口分类和接口编号规则。

1.2 配置接口基本参数配置接口基本参数,包括接口描述信息、接口流量统计时间间隔功能以及开启或关闭接口。

1.3 维护接口您可以通过清除接口统计信息以方便查询一定时间内接口的流量信息。

1.1 接口简介通过本小节,您可以了解到设备的接口分类和接口编号规则。

接口分类接口是设备与网络中的其它设备交换数据并相互作用的部件,分为管理接口、物理业务接口和逻辑接口三类,其中:l管理接口管理接口主要为用户提供配置管理支持,也就是用户通过此类接口可以登录到设备,并进行配置和管理操作。

管理接口不承担业务传输。

关于管理接口的详细配置,请参见《CloudEngine 7800&6800&5800系列交换机配置指南-基础配置》。

设备支持的管理接口如表1-1所示:表1-1各管理接口介绍l V100R005C00版本下,仅CE6850-48S6Q-HI支持Mini USB接口。

V100R005C10及以后版本,CE6850-48S6Q-HI、CE6850–48T4Q-HI和CE6850U-HI支持Mini USB接口。

l CE6850HI和CE6850U-HI设备上有两个Combo类型的管理接口,每个Combo口包括一个光接口和一个电接口。

光接口和电接口只能同时激活其中一个。

l物理业务接口物理业务接口是真实存在、有器件支持的接口。

物理接口需要承担业务传输。

物理接口有时也被称为端口,为便于描述,在本手册中,统一描述为接口。

设备支持的物理接口如表1-2所示。

表1-2物理接口缺省情况下,设备的以太网接口工作在二层模式,如果需要应用接口的三层功能,可以使用undo portswitch命令将接口转换为三层模式。

l逻辑接口逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口。

逻辑接口需要承担业务传输。

设备支持的逻辑接口如表1-3所示。

华为数据中心5800交换机01-01 堆叠配置

华为数据中心5800交换机01-01 堆叠配置
1.5 缺省配置 介绍堆叠常见参数的缺省配置。
1.6 组建堆叠 介绍堆叠的组建过程。
1.7 堆叠组建后配置增强功能 介绍堆叠组建后的配置,用来增加堆叠系统的可靠性和易操作性。
1.8 维护堆叠 介绍堆叠的维护功能。
1.9 拆分堆叠 介绍拆分堆叠的相关操作。
1.10 配置举例 介绍堆叠配置举例,配置举例中包括组网需求、配置思路、配置过程等。
定义
堆叠iStack(Intelligent Stack)是指将多台交换机设备组合在一起,虚拟化成一台交换 设备,如图1-1所示。
图 1-1 堆叠示意图 iStack
iStack Link
Eth-Trunk
物理拓扑逻辑拓扑来自目的通过交换机堆叠,可以实现网络高可靠性和网络大数据量转发,同时简化网络管理。
1.2.2 堆叠建立
堆叠建立的过程包括以下四个阶段:
文档版本 07 (2017-09-12)
华为专有和保密信息
3
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-虚拟化
1 堆叠配置
1. 物理连接:根据网络需求,选择适当的连接拓扑,组建堆叠网络。
的配置。 l 备、从交换机的堆叠端口在主交换机上有Shutdown或与堆叠冲突的配置。 l 同一堆叠端口下的堆叠物理成员端口的类型不同。 l 所有堆叠物理成员端口被配置在不同的堆叠端口下。 上述冲突产生后,备、从交换机将无法与主交换机建立堆叠。用户需要修改主交换机 或备、从交换机上的配置,使其符合配置要求,然后再重新启动交换机。
l 备、从交换机将与主交换机的配置进行合并,合并的配置包括堆叠属性配置、堆 叠端口配置、端口拆分配置。如果主交换上有备、从交换机的离线配置,则以主 交换机配置为准。

华为数据中心5800交换机01-01 智能无损网络简介

华为数据中心5800交换机01-01 智能无损网络简介

1智能无损网络简介定义智能无损网络是基于PFC优先级流控机制,结合智能化拥塞控制技术,使以太网满足分布式高性能应用无丢包、低时延、高吞吐诉求的能力。

目的随着全球企业数字化转型的加速进行,数据中心的使命正在从聚焦业务快速发放向聚焦数据高效处理进行转变。

为了提升数据处理的效率,HPC高性能计算、分布式存储、AI人工智能等当今热门应用要求数据中心网络具有无丢包、低时延、高吞吐的能力。

然而传统的基于TCP/IP协议栈的网络通信由于在数据拷贝等关键环节资源消耗较大并且时延过高,无法满足对网络性能的高要求。

RDMA(Remote Direct Memory Access,远程直接内存访问功能)利用相关的硬件和网络技术,使服务器的网卡之间可以直接读内存,最终达到高带宽、低时延和低资源消耗率的效果。

但是RDMA专用的InfiniBand网络架构封闭,无法兼容现网,使用成本较高。

RoCE(RDMA over Converged Ethernet)技术的出现有效解决了这些难题。

RoCE即使用以太网承载RDMA的网络协议,有两个版本:RoCEv1是一种链路层协议,不同广播域下无法使用;RoCEv2是一种网络层协议,可以实现路由功能。

当前高性能计算、分布式存储、人工智能等应用均采用RoCEv2协议来降低CPU的处理和时延,提升应用的性能。

然而,由于RDMA的提出之初是承载在无损的InfiniBand网络中,RoCEv2协议缺乏完善的丢包保护机制,对于网络丢包异常敏感。

同时,这些分布式高性能应用的特征是多对一通信的Incast流量模型,对于以太交换机,Incast流量易造成交换机内部队列缓存的瞬时突发拥塞甚至丢包,带来应用时延的增加和吞吐的下降,从而损害分布式应用的性能。

智能无损网络基于PFC机制提供了智能化拥塞控制技术,可以解决传统以太网络拥塞丢包、时延大的约束,为RoCEv2分布式应用提供“无丢包、低时延、高吞吐”的网络环境,满足分布式应用的高性能需求。

华为数据中心5800交换机01-10 路由策略配置

华为数据中心5800交换机01-10 路由策略配置
当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他 节点。匹配模式分permit和deny两种:
l permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性 进行设置。
l deny:路由将被拒绝通过。
当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点 都匹配失败,路由信息将被拒绝通过。
文档版本 06 (2017-09-12)
华为专有和保密信息
675
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-IP 单播路由
10 路由策略配置
10.1 路由策略简介
介绍路由策略的定义、由来和作用。
定义
路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可 达性)来改变网络流量所经过的路径。
– 在RouterC上配置另外一个地址前缀列表,并且配置OSPF利用该地址前缀列 表作为RouterC的入口策略。
l 使用路由策略
– 在RouterA上配置路由策略(其中匹配条件可以是地址前缀列表、路由cost、 路由标记Tag等),并且配置OSPF利用该路由策略作为RouterA的出口策略。
– 在RouterC上配置另外一个路由策略,并且配置OSPF利用该路由策略作为 RouterC的入口策略。
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-IP 单播路由
10 路由策略配置
10 路由策略配置
关于本章
路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。

华为数据中心5800交换机01-02 BFD配置

华为数据中心5800交换机01-02 BFD配置
2.4 配置任务概览 设备支持的BFD特性主要包括:BFD会话建立、BFD检测模式、单跳和多跳检测、静 态标识符自协商BFD、VPN路由检测、VLAN下Eth-Trunk成员链路检测、联动功能和 调整BFD参数。
2.5 配置注意事项 介绍部署BFD的注意事项。
2.6 缺省配置 介绍BFD会话常见参数的缺省配置。
BFD。 3. BFD根据收到的邻居信息建立会话。
会话建立以后,BFD开始检测链路故障,并做出快速反应。
图 2-2 BFD 故障发现处理流程图
OSPF 3
4 OSPF neighbors
2
BFD neighbors 1
OSPF 3
SwitchA
SwitchB
如上图所示:
1. 被检测链路出现故障。 2. BFD快速检测到链路故障,BFD会话状态变为Down。 3. BFD通知本地OSPF进程BFD邻居不可达。 4. 本地OSPF进程中断OSPF邻居关系。
2.2 原理描述
介绍BFD的实现原理。
原理简介
BFD在两台网络设备上建立会话,用来检测网络设备间的双向转发路径,为上层应用 服务。BFD本身并没有邻居发现机制,而是靠被服务的上层应用通知其邻居信息以建 立会话。会话建立后会周期性地快速发送BFD报文,如果在检测时间内没有收到BFD 报文则认为该双向转发路径发生了故障,通知被服务的上层应用进行相应的处理。下
3 BFD neighbors
OSPF 2
2 BFD 配置
SwitchA
SwitchB
上图所示是一个简单的网络组网,两台设备上同时配置了OSPF与BFD,BFD会话建立 过程如下所示:
1. OSPF通过自己的Hello机制发现邻居并建立连接。 2. OSPF在建立了新的邻居关系后,将邻居信息(包括目的地址和源地址等)通告给

华为数据中心5800交换机01-06 1588v2(PTP)配置

华为数据中心5800交换机01-06 1588v2(PTP)配置

6 1588v2(PTP)配置6.1 1588v2简介6.2 1588v2原理描述6.3 1588v2应用场景6.4 1588v2配置注意事项6.5 1588v2缺省配置6.6 配置动态1588v2(设备作为OC)6.7 配置动态1588v2(设备作为BC)6.8 配置静态1588v2(设备作为OC)6.9 配置静态1588v2(设备作为BC)6.10 维护1588v26.11 1588v2配置举例6.1 1588v2简介定义1588协议由IEEE定义,全称为“网络测量和控制系统的精密时钟同步协议”(Precision Clock Synchronization Protocol for Networked Measurement andControl Systems),简称PTP(Precision Time Protocol)协议。

1588分为1588v1和1588v2两个版本,1588v1只能达到亚毫秒级的时间同步精度,而1588v2可以达到亚微秒级同步精度。

1588v2被定义为时间同步的协议,本来只是用于设备之间的高精度时间同步,随着技术的发展,1588v2也具备频率同步的功能。

现在1588v1基本已被1588v2取代,以下非特殊说明,PTP即表示1588v2。

目的在数据中心网络中,随着硬件技术的不断发展,交换机和服务器需要更精确的时间,以满足客户在网络时延测量、运维问题分析、分布式计算等业务方面对时间的高精度要求。

网络设备对时钟频率、时间相位的同步要求,可以通过多种手段来满足,包括:直连全球定位系统GPS(Global Positioning System)、网络时间协议NTP(NetworkTime Protocol)、以太时钟同步等。

但是,使用GPS需要给每个设备安装天线,施工、维护的成本比较高;NTP只能达到亚秒级的时间同步精度,不能满足设备的精度要求;以太时钟同步只能对频率进行同步。

华为数据中心5800交换机01-04 智能无损网络配置注意事项

4智能无损网络配置注意事项涉及网元无需其他网元配合使用。

License支持各设备形态支持的智能无损网络功能、License控制情况如表4-1所示。

对于使用License控制的设备,缺省情况下,新购买设备的智能无损网络功能未打开。

如果需要使用设备的智能无损网络功能,请联系设备经销商申请并购买License。

表4-1各设备形态支持的智能无损网络功能、License控制情况版本支持表4-2支持本特性的最低软件版本说明如果需要了解软件版本与交换机具体型号的配套信息,请查看硬件查询工具。

软件版本演进关系:●除CE6881、CE6863和CE6820V100R001C00 -> V100R00200 -> V100R003C00 -> V100R003C10 -> V100R005C00 ->V100R005C10 -> V100R006C00 -> V200R001C00 -> V200R002C50 -> V200R003C00 ->V200R005C00 -> V200R005C10 -> V200R019C00 -> V200R019C10●对于CE6881、CE6863和CE6820V200R005C20 -> V200R019C10 -> V200R020C00特性依赖和限制无损队列的缓存空间优化的约束●手工配置无损队列的缓存空间优化后,需要保存配置并重启设备使配置生效。

●手工配置芯片级的Service Pool中独属于无损队列的Service Pool缓存空间的百分比后:–芯片对突发流量的转发能力将会降低,因此,需要相应调整各个端口入方向和出方向的缓存空间大小。

–需要确保不会通过DiffServ域优先级映射或包含remark流行为的流策略等方式将有损优先级映射到无损优先级。

–通过qos burst-mode命令配置的设备缓存管理突发模式仅对有损队列的Service Pool有效。

华为数据中心5800交换机01-03 优先级映射配置

3优先级映射配置关于本章优先级映射配置介绍优先级映射等基本概念并介绍优先级映射的配置方法、配置示例以及常见配置错误。

3.1 优先级映射概述优先级映射用来实现报文携带的QoS优先级与设备内部优先级(又称为本地优先级,是设备内部区分报文服务等级的优先级)之间的转换,从而设备根据内部优先级提供有差别的QoS服务质量。

3.2 原理描述3.3 应用场景3.4 配置注意事项介绍优先级映射的配置注意事项。

3.5 缺省配置介绍优先级映射表和缺省取值。

3.6 配置优先级映射配置优先级映射后,设备将根据报文携带的优先级信息或者端口优先级映射到相应的PHB行为/颜色,从而提供差异化的服务。

3.7 配置举例通过示例介绍如何应用优先级映射。

配置示例中包括组网需求、配置注意事项、配置思路等。

3.8 常见配置错误介绍优先级映射配置的常见错误。

3.1 优先级映射概述优先级映射用来实现报文携带的QoS优先级与设备内部优先级(又称为本地优先级,是设备内部区分报文服务等级的优先级)之间的转换,从而设备根据内部优先级提供有差别的QoS服务质量。

用户可以根据网络规划在不同网络中使用不同的QoS优先级字段,例如在VLAN网络中使用802.1p,IP网络中使用DSCP。

当报文经过不同网络时,为了保持报文的优先级,需要在连接不同网络的设备上配置这些优先级字段的映射关系。

当设备连接不同网络时,所有进入设备的报文,其外部优先级字段(包括802.1p、DSCP)都被映射为内部优先级;设备发出报文时,将内部优先级映射为某种外部优先级字段。

3.2 原理描述优先级映射不同的报文使用不同的QoS优先级,例如VLAN报文使用802.1p,IP报文使用DSCP,MPLS报文使用EXP。

当报文经过不同网络时,为了保持报文的优先级,需要在连接不同网络的网关处配置这些优先级字段的映射关系。

优先级映射实现从QoS优先级到内部优先级(或者本地优先级)或从内部优先级到QoS优先级的映射,并利用DiffServ域来管理和记录QoS优先级和服务等级之间的映射关系。

华为数据中心5800交换机01-10 BGP配置


Start Connect
Error
TCP Establieshed
OpenSent
Error
TCP
Establieshed
Receive
Correct Open
OpenConfirm
Error
Receive Correct Keepalive
Established
Error
10 BGP 配置
1. Idle状态是BGP初始状态。在Idle状态下,BGP拒绝邻居发送的连接请求。只有在 收到本设备的Start事件后,BGP才开始尝试和其它BGP对等体进行TCP连接,并转 至Connect状态。
文档版本 05 (2017-09-12)
华为专有和保密信息
483
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-IP 路由
10 BGP 配置
BGP 的路由器号(Router ID)
BGP的Router ID是一个用于标识BGP设备的32位值,通常是IPv4地址的形式,在BGP会 话建立时发送的Open报文中携带。对等体之间建立BGP会话时,每个BGP设备都必须 有唯一的Router ID,否则对等体之间不能建立BGP连接。
受益
BGP从多方面保证了网络的安全性、灵活性、稳定性、可靠性和高效性: l BGP采用认证和GTSM的方式,保证了网络的安全性。
l BGP提供了丰富的路由策略,能够灵活的进行路由选路。
l BGP提供了10.2.8 路由聚合和10.2.9 路由衰减功能用于防止路由振荡,有效提高了 网络的稳定性。
l BGP使用TCP作为其传输层协议(端口号为179),并支持10.2.10 BGP与BFD联 动、10.2.11 BGP Auto FRR和10.2.12 BGP GR和NSR,提高了网络的可靠性。

华为数据中心5800交换机01-03 静态路由配置


3 静态路由配置
3.1 静态路由简介
介绍静态路由的定义和目的。
定义
静态路由是一种需要管理员手工配置的特殊路由。
目的
静态路由在不同网络环境中有不同的目的:
l 当网络结构比较简单时,只需配置静态路由就可以使网络正常工作。 l 在复杂网络环境中,配置静态路由可以改进网络的性能,并可为重要的应用保证
带宽。 l 静态路由可在VPN实例中使用,主要用于VPN路由的管理。
图 3-1 静态路由与 NQA 联动应用组网图
IP Network
RouterA
RouterB SwitchA
RouterC SwitchB
...... SwitchC SwitchD
Client1
...... Client10
......
Client91
Client100
3.2.4 静态路由永久发布
静态路由永久发布可以为客户提供一种低成本、部署简单的链路检测机制,并提高与 其他厂商设备的兼容性。在客户希望确定业务流量的转发路径,不希望流量从其它路 径穿越时,静态路由永久发布可以通过Ping静态路由目的地址的方式来检测链路的有 效性而达到业务监控的目的。
链路有效性直接影响网络的稳定性和可用性,因此链路状态的检测对网络维护具有重 要意义。BFD作为一种常用方案,并不适合所有的场景。例如,在不同的ISP之间,客 户更希望采用更简单、更自然的方式来达到这一目的。
应用
如图3-1所示,每台接入交换机下连接10个用户,共100个用户。由于在RouterB和用户 之间无法使用动态路由协议,所以在RouterB上配置到用户的静态路由。出于网络稳定 性的考虑,在RouterC上进行同样的配置,作为冗余备份。RouterA、RouterB和RouterC 上运行动态路由协议,相互间可以学习路由。其中,RouterB和RouterC配置动态路由协 议引入静态路由,并且设置不同的度量值,这样RouterA也能通过动态路由协议从 RouterB和RouterC分别学习到用户的路由,RouterA根据两条链路的度量值不同选择一
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图 6-1 MFF 方案的应用场景
Gateway
6 MFF 配置
EAN Switch A
EAN Switch B
EAN Switch C
Server
Server
Server
Server Flow through Gateway
Flow not through Gateway
接口角色
在部署MFF的设备(后续简称MFF设备)上存在两种接口角色:用户接口和网络接 口。
ቤተ መጻሕፍቲ ባይዱ
6 MFF 配置
MFF通过ARP代答机制,截获用户发送的ARP请求报文,回复包含网关MAC地址的 ARP应答报文。设备通过这种方式将用户流量强制引向网关,达到二层隔离和三层互 通的作用。
目的
在以太网中,由于用户之间的业务不同,需要对用户之间进行二层隔离。在不同业务 的用户之间有时又需要进行通信,所以需要实现用户之间的三层互通。在传统的以太 网组网方案中,为了实现不同用户之间的二层隔离和三层互通,通常采用在设备上划 分VLAN的方法。但是存在以下几种不足:
为此MFF在处理用户对应用服务器的访问时,在MFF设备中指定应用服务器的IP 地址,设置用户可以访问的应用服务器列表。MFF设备捕获从客户端主机发出的 ARP请求,并以应用服务器的MAC地址作为源MAC地址应答ARP。对于应用服务 器的ARP请求,MFF设备将会回应它所请求的用户MAC地址。这样实现用户与应 用服务器之间的二层互通,流量不需要经过网关就可转发至服务器。
– 手动配置网关IP地址
如果用户的IP地址是静态配置的,MFF设备则无法通过DHCP报文来获取网关 IP地址,因此需要在MFF设备上手动配置该IP。配置静态网关(即静态用户 的网关)的IP地址后,MFF设备通过捕获用户侧在线用户的ARP请求报文, 进而触发生成或者更新包含用户信息的MFF表项。如果在未学习到网关MAC 地址的情况下收到用户的ARP请求,MFF设备将不会转发该ARP请求,而以 用户的IP地址和MAC地址为源信息构造ARP请求报文发给网关,并从网关回 应的ARP应答报文中学习网关MAC地址。
用户接口是指连接终端用户的接口。
用户接口对于不同报文的处理方式如下:
l 丢弃IGMP Query报文,允许其他IGMP协议报文;允许DHCP报文通过。 l ARP报文上送CPU进行处理。 l 若已经学习到网关MAC地址,则仅允许目的MAC地址为网关MAC地址的单播报
文通过,其他报文将被丢弃;若没有学习到网关MAC地址,目的MAC地址作为网 关MAC地址的单播报文也将被丢弃。 l 组播数据报文和广播数据报文都不允许通过。
l 当彼此间需要二层隔离的用户较多时,这种方式会占用大量的VLAN资源;
l 为实现用户之间三层互通,需要为每个VLAN规划不同的IP网段,并配置VLANIF 接口的IP地址,因此划分过多的VLAN会降低IP地址的分配效率。
而MFF作为实现同一广播域内的用户之间二层隔离和三层互通的一种解决方案,既可 以充分利用以太网的广播域优势,又没有IP地址浪费和规模限制。MFF强制用户将所 有流量(包括同一子网内的流量)发送到网关,使网关可以监控数据流量,防止用户 之间的恶意攻击,能更好的保障网络部署的安全性。
介绍MFF的定义、由来和作用。
定义
MFF(MAC-Forced Forwarding)是实现同一广播域内的用户之间二层隔离和三层互通 的一种解决方案。
文档版本 06 (2017-09-12)
华为专有和保密信息
165
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-安全
User User A
User B
User
然而在数据中心的服务器虚拟化场景下,处于同一个物理服务器内的多个VM (Virtual Machine),可能划分到同一个VLAN中并且需要二层隔离。此时由于多 个VM共享同一个接入链路,因此多个VM对于MFF设备来说就是多个用户通过同 一个用户接口接入。由于VM间很多情况下是完全业务隔离的,此时MFF设备必须 对ARP请求进行代答,否则VM间将无法三层互通。
文档版本 06 (2017-09-12)
华为专有和保密信息
169
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-安全
图 6-3 用户共享接入链路场景 Gateway
6 MFF 配置
EAN Switch A
EAN Switch B
EAN Switch C
l 用户隔离端口
在如图6-3所示的MFF组网中,UserA和UserB通过SwitchB的同一接口接入,当两 个用户间需要通信时,UserA请求UserB的ARP请求报文会广播到SwitchB上,同时 UserB也会收到该请求报文。这时如果SwitchB按照MFF的ARP代答机制将网关的 MAC地址应答给UserA的话,UserA会收到两份ARP应答报文,并且两份报文是冲 突的,导致UserA学习到的ARP表项不可预知。因此部署了MFF特性的设备会对用 户发送的ARP请求进行接口一致性检查,如果发现请求和被请求的用户来自相同 的接口,就会对ARP请求报文进行丢弃。
– DHCP Snooping动态定制网关
如果用户的IP地址是通过DHCP协议动态获取的,MFF设备将从DHCP Snooping表中获取用户的IP地址和MAC地址信息,并解析来自网络端口的 DHCP ACK报文中的OPTION121或OPTION3字段,从中获取网关IP。之后, MFF设备再以用户的IP地址和MAC地址为源信息构造ARP请求报文发给网 关,并从网关回应的ARP应答报文中学习网关MAC地址。
说明
若VLAN中没有记录任何用户,那么MFF设备将不会向网关发送ARP请求报文,直到有一 个用户上线为止。
l 应用服务器访问
如图6-2所示,在网络中除了网关外可能还部署了应用服务器,比如DHCP Server、组播服务器、其他业务服务器等。如果不在MFF设备中指定应用服务器的 IP地址,用户如果访问应用服务器,流量会先被转发至网关,然后再被转发至应 用服务器,这样就会增加上行流量,消耗带宽,占用网关转发资源。
MFF环境下用户的二层隔离和三层互通是通过ARP代答机制实现的,这种代答机制在 一定程度上减少了网络侧和用户侧之间的广播报文数量。关于ARP代答机制,具体请 参见实现功能中的介绍。
文档版本 06 (2017-09-12)
华为专有和保密信息
166
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-安全
6.4 配置注意事项 介绍配置MFF的注意事项。
6.5 配置MFF 配置MFF可以实现同一广播域内各用户间的二层隔离和三层互通。
6.6 配置举例 介绍MFF特性在具体组网中的应用。
6.7 常见配置错误 介绍MFF特性常见配置错误及处理思路。
6.8 参考信息 介绍MFF的参考标准和协议。
6.1 MFF 简介
在上述情况下,MFF特性支持用户隔离端口。配置了用户隔离端口后,将不再对 同一接口发来的ARP请求报文进行接口一致性检查,而是直接进行ARP代答。
l MFF安全
在MFF组网中可能存在ARP Snooping学习的动态用户,通过伪造实际不存在用户 的ARP请求报文,让设备学习到一些错误的用户信息,占用设备资源,从而影响 正常用户的学习以及其他业务。
网络接口是指连接其他网络设备如接入交换机、汇聚交换机或者网关的接口。
网络接口对于不同的报文处理如下:
l 允许组播报文和DHCP报文通过。 l 对于ARP报文则上送CPU进行处理。
实现功能
MFF解决方案主要包括以下几个方面的内容:获取网关和用户信息、ARP代答、网关 探测、应用服务器访问、用户在线探测、用户隔离端口和MFF安全。
6.2 原理描述
介绍MFF的实现原理。
6.2.1 MFF 基本原理
工作机制
如图6-1所示为以太接入网MFF方案的应用场景,这些应用场景中往往需要网关统一管 理和计费客户端的数据流量。在EAN(Ethernet Access Nodes)上部署MFF,可以使客 户端的数据流量首先经过网关再通过三层转发至其它用户,实现了二层流量的隔离, 同时达到监控和计费的目的。
对于网关请求用户的ARP报文,MFF设备则会以用户的MAC地址进行代答。
l 网关探测
为了及时感知网关MAC地址的变化,MFF支持网关定时探测功能。当网关探测功 能开启后,MFF设备每隔30秒会扫描已记录的网关信息,并使用某一个用户的信 息构造ARP请求报文发向网络端,再从网关的ARP应答中获取网关的MAC地址。 如果MAC地址发生变化,MFF设备将立即更新网关信息,同时广播免费ARP报文 到用户端,用于及时刷新用户的网关地址映射关系。
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-安全
6 MFF 配置
6 MFF 配置
关于本章
MFF配置介绍MFF的基础知识、配置方法、配置举例和常见配置错误。
6.1 MFF简介 介绍MFF的定义、由来和作用。
6.2 原理描述 介绍MFF的实现原理。
6.3 应用场景 介绍MFF的应用场景。
当MFF设备学习到多个网关时,默认采用第一个网关为用户代答,因此只会 向第一个网关发送ARP请求。
l ARP代答
MFF设备捕获用户发出的ARP请求报文,并以网关的MAC地址作为源MAC构造 ARP应答报文发送给用户,使用户的ARP表记录的IP地址都与网关的MAC对应, 由此强制用户发出的所有数据报文在二层转发中都以网关为目的地,从而使数据 流量监控、计费得以实施,提高网络的安全性。