S9300MFF特性介绍V1020090915B.ppt

S9300 MFF特性介绍

MFF
(Mac-Forced Forwarding)
强制指定MAC地址转发
前言
Page
学****指南
配置指南-安全章节名 MFF配置
特性描述-安全章节名 MFF
Page
学****完此课程,您将会:
了解MFF的工作原理
了解MFF的应用场景
目标
Page
内容介绍
第1章 MFF特性协议原理
第2章 S9300中MFF特性实现
第3章 S9300中MFF特性规格
第4章 S9300中MFF特性组网应用
第5章 S9300中MFF特性配置
第6章 S9300中MFF特性故障处理
Page
MFF特性协议原理-MFF的引入
接入网络解决方案应能保证客户端主机之间的二层流量隔离,使网络流量通过网关转发,从而可以实现流量监控、计费等应用,以及保障网络环境的安全性。EAN可以将每个客户端主机看作单独的IP接口,以三层转发的方式,实现二层流量分隔。然而这种方法在IP地址紧缺的今天并非一个上佳之选。
PPPoE和VLAN per-customer两种方案都可以解决二层流量隔离问题。但是PPPoE在完成组播应用时不能充分利用以太网的广播域优势,过早的流量复制会浪费大量带宽。而VLAN per-customer方案在规模上受到VLAN总数的限制。VLAN stacking虽然可以打破限制,却增加了规划的复杂性。
MFF正是一种既可以充分利用以太网的广播域优势,又没有IP地址浪费和规模限制的方案。
Page
MFF特性协议原理-MFF简介
MFF (Mac-Forced Forwarding)
为了改善这种现状,MAC-Forced Forwarding(下文统一用“MFF”替代)为同一广播域内实现客户端主机间的二层隔离和三层互通,提供了一种解决方案。MFF 截获用户的ARP 请求报文,通过ARP 代答机制,回复网关MAC 地址的ARP 应答报文。通过这种方式,可以强制用户将所有流量(包括同一子网内的流量)发送到网关,使网关可以监控数据流量,防止用户之间的恶意攻击,能更好的保障网络部署的安全性。
运营商
在以太网接入环境中实现二层隔离、三层互通的功能,不浪费带宽,部署规划简单,不用担心恶意攻击引起的带宽占用。
用户
更安全的网络环境,不用担心恶意攻击的骚扰,更稳定的网络服务。
Page
MFF特性协议原理-组网模型
EAN: Access Node (以太网接入点)
AR :Access Router (接入路由器)
MFF方案的应用场景
Page
MFF特性协议原理-MFF原理
ARP代答。
自动获取AR的IP地址和MAC地址。
静态配置网关。
网络接口和用户接口。
Page
MFF特性协议原理-ARP代答
ARP代答机制保证了用户之间的三层互通,同时也减少了网络侧和用户侧之间的广播报文数量。
代答用户ARP 请求。替代网关给用户主机回应ARP报文,使用户之间的报文交互都通过网关进行三层转发。用户主机的ARP请求,既包含对于网关的请求,也包含对于其他用户IP的ARP请求。
代答网关ARP请求。替代用户主机给网关回应ARP报文。如果网关请求的表项在MFF设备上存在,就根据表项进行代答。如果表项还没有建立,则转发请求,以便达到减少广播的目的。
转发用户主机和网关发来的ARP应答。
监听网络中的ARP报文。更新网关IP地址和MAC地址对应表。
Page