内容发布更新时间 : 2024/5/19 17:05:13星期一 下面是文章的全部内容请认真阅读。
图2-1 MFF实现原理
Switch A和Switch B作为以太网接入节点(Ethernet Access Nodes,EAN),提供了客户端主机与汇聚节点(Switch C)之间的连接。在以太网接入节点上配置MFF功能,可以使客户端的数据报文交互全部通过网关转发,实现了客户端之间的三层互通,又保证了二层数据的隔离。
Host A看到的Host B的MAC也是gateway的,这样保证即使Host A和Host B是同一网段,同一Vlan,他们的交换也必须经过gateway,从而实现二层隔离。
1) 配置
用户为静态IP地址用户时,需要的配置如下: 配置单tag的service-port(双tag的目前不支持),并配置上联口和ONU上的相关VLAN,使业务能通。
开启mff开关。 配置mff网关。
用户为dhcp用户时,需要的配置如下: 前三项同上,另外还需要配置:
在全局和service-port上开启dhcp snooping功能。
注意:不能配置对应VLAN的三层接口。不然该功能无效了。 2) 命令
ZXAN(config)#Ip-service mac-forced-forwarding {enable | disable} 配置mac地址强制转发功能开关状态。
ZXAN(config)# [no] ip-service mac-forced-forwarding vlan
配置启用某个vlan下的mac-forced-forwarding 网关IP\\MAC。 目前系统支持配置最多八个vlan的MFF网关数据。
在ZXAN# Show ip-service arp [ dhcp | ipoa-dynamic | ipoa-static | dynamic |fixed | ip-addr
显示mac-forced-forwarding 功能使用的arp映射表信息。 ZXAN# show ip-service mac-forced-forwarding 显示MAC forced forwarding 全局开关状态。
ZXAN#show ip-service mac-forced-forwarding gateway 显示MAC forced forwarding 各vlan下网关信息。
1.43 MAC防漂功能
功能介绍
MAC地址漂移经常出现在存在MAC地址欺骗或者系统(特别是用户侧)成环等情况下,防止MA地址的漂移,可以一定程度上保证系统的稳定运行。
系统实现
系统实现属于硬件防漂,不能查看防漂记录。 配置
C300V1.1系统的MAC地址防漂移涉及到的命令有:
1、 security mac-anti-spoofing enable/ disable——MAC地址防漂移总开关
2、 security mac-anti-spoofing uplink-protect enable/ disable——上联口优先开关 3、 security uplink-protected-mac——网关保护地址 说明
1) 所有防漂移功能都要在MAC地址防漂移总开关开启后才能生效。
2) 当未开启总开关时,MAC地址可以在用户侧,上联侧端口间来回漂移。 3) 当开启总开关,未开启其它开关时,MAC地址在一个端口学习到后,要等老化以后,才能在另一个端口学习到。
4) 当开启总开关,未配置网关保护地址,只开启上联口优先时,MAC地址在用户侧学习到后,如果网络侧也有相同的地址,不用等用户侧地址老化,就可以迁移到网络侧。但是网络侧学习到地址以后,如果用户侧有相同的地址,需要等网络侧地址老化以后,才能迁移到用户侧。
5) 当开启总开关,配置网关保护地址后,不用开启上联口优先开关,对于配置的网关地址,处理和上联口优先开关开启时一样,对于没配置成网关地址的地址,处理和普通地址一样。如果开启了上联口优先开关,所有地址的处理都按照只开启了上联口优先开关一样处理。
6) 两开关都使能情况下,信任上联口,认为上联口之间不会存在成环现象,只要上联口来MAC哪怕冲突的,都会漂移过来,所以用户口可以漂移到上联口,上联口之间可以漂移;上联口优先DIS情况下,所有端口都不可信任,都可能成环,所以所有端口上都不允许漂移。(T7版本改动)
1.44 ARP防欺骗
Arp anti-spoofing涉及到两个方面,一是对用户侧进行arp 防欺骗,一是对网络测进行arp防欺骗。
在配置方面,可以对特定vlan指定arp anti-spoofing为其中一个方向,也可以两个方向均指定。
ZXAN(config)#show ip-service arp-anti-spoofing Arp Anti-Spoofing status:Enabled. vlan direction ----------------------
666 all(C300V1.1T7只能实现上行方向的防欺骗)
用户侧的arp防欺骗的逻辑是:收到用户侧来的arp包后,查找mff的arp表中是否有dhcp来源的该用户ip对应的arp条目,有则进行mac地址判断,若与arp表中一致,则该arp包继续得以处理,如果不一致,则丢弃该报文。如果查找不到dhcp来源的arp条目,则
查找固定用户来源的arp条目,进行相同的判断处理。
用户为静态IP地址用户时,需要的配置如下: 配置单tag的service-port(双tag的目前不支持),并配置上联口和ONU上的相关VLAN,使业务能通。
开启mff开关。 配置mff网关。
用户为dhcp用户时,需要的配置如下: 前三项同上,另外还需要配置:
在全局和service-port上开启dhcp snooping功能。
开启全局DHCP-OPTION82,开启ONU接口下的DHCP-OPTION82。(若不开启,则show ip-ser arp中,DHCP用户也显示为动态)
网络侧的arp防欺骗的逻辑是:收到网络侧来的arp包后,先判断该包的源ip是否是配置的mff的网关ip,不是则丢弃。是,则判断mff配置的网关MAC类型是否为静态的。当为静态配置网关mac时,进行mac的判断,一致则继续处理,不一致则丢弃。当为动态配置网关mac时,则仅做更新mac处理,不做丢弃判断。
可以使用etheekpeek发包,进行arp防欺骗测试,也可以使用TC创建HOST方式测试。 该功能只对 ARP报文进行提包处理。
1.45 IP source-guard功能以及固定/动态DHCP用户的IP绑定
IP源保护,在ONU接口使能了IP SOURCEGUARD的VLAN(service-port),只允许DHCP用户已经配置了静态IP的用户的IP报文才能通过。
如果不配置任何静态IP,则只允许IP地址为全0的报文通过。 使能IP SOURCEGUARD功能: 全局模式下:
ZXAN(config)#ip-service ip-source-guard enable
进入onu接口模式:
ZXAN(config)#interface gpon-onu_1/5/5:1
onu接口模式下:
首先创建service-port
ZXAN(config-if)#service-port 1 user-vlan 100 cvlan 200 ZXAN(config-if)#ip-service ip-source-guard enable sport 1 ZXAN(config)#show ip-service ip-source-guard global ip-source-guard status :enable
ZXAN(config)#show ip-service ip-source-guard GPON-onu_1/5/5:1 Port Sport ip-source-guard status gpon-onu_1/5/5:1 1 enable
此时,非DHCP用户,只能通过IP地址为全0的报文。 执行固定IP用户配置: onu接口模式下:
ZXAN(config-if)#ip-service ip-fixed-user 2.2.2.3 mac-address 0000.0000.0001 vlan 200 sport 1
ZXAN(config)#show ip-service user interface GPON-onu_1/5/5:1
Port Sport IP-addr MAC-addr Vlan Source
gpon-onu_1/5/5:1 1 2.2.2.3 0000.0000.0001 200 fixed-user 只有IP和MAC都匹配的报文才能通过,其他都丢弃。
执行dhcp snooping配置:
在全局下ip dhcp snooping enable ip dhcp snooping vlan 200
ip dhcp snooping trust gei_1/21/1 dhcp-option82 enable
用户侧端口下interface GPON-onu_1/5/5:1 ip dhcp snooping enable vport 1 dhcp-option82 enable
使用dhcpclient从用户侧发起1个请求获取ip地址。
1.46 典型功能测试
组网:两个上联口,两个用户口,其中一个上联口和一个用户口模拟正常的对发单播流量,另一个上联口模拟上联口上的非正常流量,另一个用户口,模拟用户口的非正常流量。
步骤:
不开启防漂移功能 配置防漂功能取消
用户侧先发送源mac1的报文,网络侧然后发送源mac1的报文,发现源mac1可能在网络侧或者用户侧学习到,业务采用洪范方式通。
网络侧先发送源mac1的报文,用户侧然后发送源mac1的报文,发现源mac1可能在网络侧或者用户侧学习到,业务采用洪范方式通。
上联口优先模式
配置防漂功能使能以及上联口保护方式
用户侧先发送源mac1的报文,网络侧然后发送源mac1的报文,发现源mac1只是在网络侧学习到,下行业务通,而用户侧没有学习到mac1,并且上行业务不通。
网络侧先发送源mac1的报文,用户侧然后发送源mac1的报文,发现源mac1只是在网络侧学习到,下行业务通,而用户侧没有学习到mac1,并且上行业务不通。
上联口网关MAC地址保护模式
配置防漂功能使能以及上联口保护取消方式 配置上联口保护的网关mac
用户侧先发送源mac1(网关mac)的报文,网络侧然后发送源mac1(网关mac)的报文,发现源mac1只是在网络侧学习到,下行业务通,而用户侧没有学习到mac1,并且上行业务不通。
网络侧先发送源mac1(网关mac)的报文,用户侧然后发送源mac1(网关mac)的报文,发现源mac1只是在网络侧学习到,下行业务通,而用户侧没有学习到mac1,并且上行业务不通。
用户侧先发送源mac2(非网关mac)的报文,网络侧然后发送源mac2(非网关mac)的报文,发现源mac2可能在网络侧或者用户侧学习到,业务采用洪范方式通。
网络侧先发送源mac2(非网关mac)的报文,然后用户侧发送源mac2(非网关mac)的报文,发现源mac2可能在网络侧或者用户侧学习到,业务采用洪范方式通。
注:网关MAC地址保护数32条。
1.22 光模块参数检测功能
必须用支持光功率检查的光模块,才能测试PON口的发光功率。如果要测试ONU侧的接收功率,ONU上也必须使用支持光功率检查的光模块。检测数据,可以通过网管上的性能统计,或者CLI命令查询。
OLT光模块诊断:
ZXAN(config)#sho pon transceiver info gpon-olt_1/7/4
RxPower : N/A (dbm) TxPower : 4.025 (dbm) Bias-Current : 13.114 (mA) Laser-Rate : 2488 (MBd) Supply-Vol : 3.181 (V) Wavelength : N/A (nm) Temperature : 47.600 (C) Vender-PN : SOGQ4321-PSGA
Vender-Name : SUPERXON MaxDistance: 20 (km) ZXAN(config)#sho pon power olt-rx gpon-onu_1/7/4:1 Rx power: -11.693(dbm) ONU光模块诊断:
ZXAN(config)#sho gpon remote-onu interface pon gpon-onu_1/7/4:1
Interface: pon_0/1 GEM-blocklen: 48 (bytes) Sf-threshold: 5 Sd-threshold: 9
Alarm: enable AlarmDisableInterval: 0 TotalTcontNum: 8
PiggybackDbaRptMode: mode0 only WholeOnuDbaRptMode: support RxOpticalLevel: -11.712(dBm) LowerRxOpticalThreshold: ont internal policy UpperRxOpticalThreshold: ont internal policy