所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
MFF配置命令

MFF配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

display mac-forced-forwarding

命令功能

display mac-forced-forwarding命令用来查看MFF相关配置信息。

命令格式

display mac-forced-forwarding { network-port | vlan vlan-id }

参数说明

参数 参数说明 取值
network-port 显示网络接口信息。 -
vlan vlan-id 显示指定VLAN下MFF配置信息。 整数形式,取值范围是1~4094。

视图

所有视图

缺省级别

1:监控级

使用指南

执行display mac-forced-forwarding可以查看MFF的网络接口信息、MFF的指定VLAN下的配置信息,用来确认MFF功能是否配置正确。

说明:

使用user-bind static命令配置非DHCP用户的静态绑定表项时,只有至少同时指定了ip-addressvlan vlan-id [ ce-vlan ce-vlan-id ]参数,删除该静态绑定表项时,与其IP地址、VLAN编号对应的MFF表项才能被同步删除。

使用实例

# 查看MFF的网络接口信息。

<HUAWEI> display mac-forced-forwarding network-port
--------------------------------------------------------------------------------
VLAN ID                  Network-ports
--------------------------------------------------------------------------------
VLAN 10                  GigabitEthernet2/0/0
                         GigabitEthernet2/0/1
                         GigabitEthernet2/0/2
                         GigabitEthernet2/0/3
VLAN 100                 GigabitEthernet3/0/10
                         GigabitEthernet3/0/15
                                                
表14-45  display mac-forced-forwarding network-port命令输出信息描述

项目

描述

VLAN ID

网络接口所属的VLAN编号。

Network-ports

网络接口名称。

# 查看VLAN100的MFF配置信息。

<HUAWEI> display mac-forced-forwarding vlan 100
[Vlan 100] MFF host total count = 3 
--------------------------------------------------------------------------------
Servers         192.168.1.2
                192.168.1.3
--------------------------------------------------------------------------------
User IP         User MAC             Gateway IP        Gateway MAC
--------------------------------------------------------------------------------
192.168.1.10    0001-0001-0001       192.168.1.254     0002-0002-0001
192.168.1.11    0001-0001-0002       192.168.1.254     0002-0002-0001
192.168.1.12    0001-0001-0003       192.168.1.252     0002-0002-0003
--------------------------------------------------------------------------------
表14-46  display mac-forced-forwarding vlan命令输出信息描述

项目

描述

MFF host total count

VLAN100内用户的个数。

Servers

VLAN100内服务器的IP地址。

User IP

VLAN100内用户的IP地址。

User MAC

VLAN100内用户的MAC地址。

Gateway IP

网关的IP地址。

Gateway MAC

网关的MAC地址。

mac-forced-forwarding arp-trigger

命令功能

mac-forced-forwarding arp-trigger命令用来使能从用户侧收到ARP报文后添加或更新MFF表项功能。

undo mac-forced-forwarding arp-trigger命令用来去使能从用户侧收到ARP报文后添加或更新MFF表项功能。

缺省情况下,未使能从用户侧收到ARP报文后添加或更新MFF表项功能。

命令格式

mac-forced-forwarding arp-trigger

undo mac-forced-forwarding arp-trigger

参数说明

视图

VLAN视图

缺省级别

2:配置级

使用指南

应用场景

在数据中心场景中,用户与虚拟机服务器通过MFF在EAN设备上进行二层隔离。当虚拟机在不同的服务器之间进行了迁移,并且迁移前后连接在不同EAN设备的情况下,可能出现虚拟机迁移后连接的EAN设备上存在备份的绑定关系表以及迁移前连接的EAN设备没有能够及时删除MFF表项,从而使用户与服务器之间的二层隔离、三层互通的安全性无法得到保障。此时可以在该EAN设备上配置mac-forced-forwarding arp-trigger,使其从用户侧收到ARP报文后,查看MFF表项中是否存在该用户表项,如果已经存在,则更新MFF表项,如果不存在,则添加该用户表项。无论用户表项是否存在,设备从用户侧第一次收到ARP报文后均会向所有网络侧端口广播该ARP报文。

前置条件

配置该命令前需要先在全局和VLAN下执行mac-forced-forwarding enable命令使能MFF功能。

使用实例

# 使能从用户侧收到ARP报文后添加或更新MFF表项功能。

<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] mac-forced-forwarding enable
[HUAWEI-vlan100] mac-forced-forwarding arp-trigger

mac-forced-forwarding dumb-terminal-compatible

命令功能

mac-forced-forwarding dumb-terminal-compatible命令用来配置设备转发网关发送的ARP报文到哑终端功能。

undo mac-forced-forwarding dumb-terminal-compatible命令用来删除配置设备转发网关发送的ARP报文到哑终端功能。

缺省情况下,未配置设备转发网关发送的ARP报文到哑终端功能。

命令格式

mac-forced-forwarding dumb-terminal-compatible

undo mac-forced-forwarding dumb-terminal-compatible

参数说明

视图

VLAN视图

缺省级别

2:配置级

使用指南

应用场景

对于MFF设备连接哑终端(哑终端不主动发送ARP请求报文,或者发送ARP请求报文的时间间隔较长)的场景,当设备上MFF表项老化后,需要将网关的ARP报文透传给哑终端,否则可能导致网关上哑终端用户的ARP表项老化,影响用户业务。因此对于MFF设备连接哑终端的场景,需要在MFF设备上配置转发网关发送的ARP报文到哑终端的功能。

前置条件

需要先执行mac-forced-forwarding enable命令使能MFF的功能。

注意事项

配置设备发送ARP报文到哑终端功能后,需要执行mac-forced-forwarding static-gateway命令配置静态网关IP地址,否则功能不生效。

配置设备发送ARP报文到哑终端功能后,设备收到网关发送的ARP请求报文后会先查找静态绑定表(通过user-bind static命令配置):
  • 如果在静态绑定表中查找到出接口,则直接从该接口转发ARP请求报文。
  • 如果在静态绑定表中未能查找到出接口,则将ARP请求报文在VLAN内广播,此时VLAN内其他用户也可以侦听到ARP报文。

使用实例

# VLAN100下配置设备发送ARP报文到哑终端。

<HUAWEI> system-view
[HUAWEI] mac-forced-forwarding enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] mac-forced-forwarding enable
[HUAWEI-vlan100] mac-forced-forwarding dumb-terminal-compatible

mac-forced-forwarding enable

命令功能

mac-forced-forwarding enable命令用来使能MFF功能。

undo mac-forced-forwarding enable命令用来去使能MFF功能。

缺省情况下,未使能MFF功能。

命令格式

mac-forced-forwarding enable

undo mac-forced-forwarding enable

参数说明

视图

系统视图、VLAN视图

缺省级别

2:配置级

使用指南

应用场景

在很多网络场景中,需要网关监控数据流量,而用户之间不能直接通信,即需要实现不同用户之间的二层隔离和三层互通。部署MFF功能可以对同一网段的用户进行二层隔离三层互通。通过二层隔离可以把流量引向网关,实现流量监控、计费等应用,以及保障网络环境的安全性。

注意事项

只有在系统视图下全局使能MFF功能打开全局MFF开关后,才能在VLAN视图下执行mac-forced-forwarding enable命令使能MFF功能并进行其他配置。

若在系统视图下全局去使能MFF后,MFF特性的其他配置自动关联删除。

由于MFF和Super-VLAN、VLANIF互斥,如果配置了以上特性,则不能使能VLAN内的MFF功能。

如果同时创建了Super-VLAN以及对应的VLANIF接口,则不能在对应的Sub-VLAN下使能MFF功能。

由于MFF的实现机制是ARP代答,而出口ARP检测功能的实现机制是转发ARP请求报文,二者之间相互矛盾。如果在同一VLAN内同时配置了MFF和出口ARP检测功能,则MFF功能生效。

说明:

使能MFF功能时,如果设备上的ACL资源不足,MFF功能不生效。

不能在Super VLAN下配置MFF功能。

Super VLAN下配置DHCP Relay功能后,在Sub VLAN下不能配置MFF功能。

使用实例

# 使能VLAN100的MFF功能。

<HUAWEI> system-view
[HUAWEI] mac-forced-forwarding enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] mac-forced-forwarding enable

mac-forced-forwarding gateway-detect

命令功能

mac-forced-forwarding gateway-detect命令用来使能网关定时探测功能及配置网关探测时间间隔。

undo mac-forced-forwarding gateway-detect命令用来去使能网关定时探测功能。

缺省情况下,已使能网关定时探测功能,网关探测时间间隔为30秒。

命令格式

mac-forced-forwarding gateway-detect [ interval interval-time ]

undo mac-forced-forwarding gateway-detect

参数说明

参数

参数说明

取值

interval interval-time

网关探测时间间隔。

整数形式,取值范围是30~17280,单位为秒。

视图

VLAN视图

缺省级别

2:配置级

使用指南

应用场景

在实际网络场景中,如果网关MAC地址发生了变化,MFF设备未能及时感知,会导致业务长时间不通。为了避免上述问题的出现,可以使能网关定时探测功能。使能该功能后(该功能默认已开启),MFF设备每隔interval-time秒会扫描已记录的网关信息,并使用某一个用户的信息构造ARP请求报文发向网络端,再从网关的ARP应答中获取网关的MAC地址。如果MAC地址发生变化,MFF设备将立即更新网关信息,同时广播免费ARP报文到用户端,用于及时刷新用户的网关地址映射关系。

前置条件

执行mac-forced-forwarding gateway-detect命令前,需要先执行mac-forced-forwarding enable使能VLAN的MFF功能。

注意事项

如果探测到多个网关,默认使用第一个网关进行ARP代答。

在MFF功能使能之后,若既没有收到用户或者网关发送的ARP请求,也没有用户得到DHCP服务器授权访问网络,则定时探测网关功能不会有任何实际效果。

为了防止网关失效导致用户间流量阻塞,在使能网关定时探测功能后,如果连续5次探测都没有收到回应,设备会认为该网关已经失效,并将该网关的MAC地址清空。在探测期间,如果修改了网关探测时间间隔,探测次数累加不清零。

使用实例

# 在VLAN10下使能网关探测功能。

<HUAWEI> system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] mac-forced-forwarding enable
[HUAWEI-vlan10] mac-forced-forwarding gateway-detect

mac-forced-forwarding igmp-query discard

命令功能

mac-forced-forwarding igmp-query discard命令用来配置在VLAN内同时使能MFF和IGMP snooping的情况下,丢弃用户侧发送的IGMP query报文的功能。

undo mac-forced-forwarding igmp-query discard命令用来关闭VLAN内MFF与IGMP snooping同时使能时,丢弃用户侧发送的IGMP query报文的功能。

缺省情况下,在VLAN内同时使能MFF和IGMP snooping的情况下,未使能丢弃用户侧发送的IGMP query报文的功能。

命令格式

mac-forced-forwarding igmp-query discard

undo mac-forced-forwarding igmp-query discard

参数说明

视图

VLAN视图

缺省级别

2:配置级

使用指南

在VLAN内配置MFF与IGMP snooping功能时,从用户侧发送的IGMP query报文会在VLAN内广播,配置mac-forced-forwarding igmp-query discard命令用于丢弃IGMP query报文。

使用实例

# 在VLAN10中配置用户侧IGMP query报文丢弃的功能。

<HUAWEI> system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] mac-forced-forwarding igmp-query discard

mac-forced-forwarding ipv6-isolate

命令功能

mac-forced-forwarding ipv6-isolate命令用来配置在连接用户的MFF设备的入端口上丢弃用户的IPv6报文。

undo mac-forced-forwarding ipv6-isolate命令用来取消在入端口丢弃用户的IPv6报文的功能。

缺省情况下,在连接用户的MFF设备的入端口上不丢弃用户的IPv6报文。

命令格式

mac-forced-forwarding ipv6-isolate

undo mac-forced-forwarding ipv6-isolate

参数说明

视图

VLAN视图

缺省级别

2:配置级

使用指南

应用场景

mac-forced-forwarding ipv6-isolate命令配置后,用户发送的IPv6报文在设备入端口丢弃,防止IPv6报文在VLAN下广播,引起用户之间互相学习到对方的MAC,导致MFF的用户隔离功能失效。

前置条件

配置该命令前需要先在全局和VLAN下使能MFF功能。

必须保证VLAN内有至少一个接口是网络侧接口。

使用实例

# 配置允许与用户相连的MFF设备的入端口丢弃IPv6报文。

<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] mac-forced-forwarding enable
[HUAWEI-vlan100] mac-forced-forwarding ipv6-isolate

mac-forced-forwarding network-port

命令功能

mac-forced-forwarding network-port命令用来配置当前接口为网络接口。

undo mac-forced-forwarding network-port命令用来恢复当前接口为用户接口。

缺省情况下,接口为用户接口。

命令格式

mac-forced-forwarding network-port

undo mac-forced-forwarding network-port

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

VLAN内的MFF功能生效的前提是,至少存在一个网络接口属于该VLAN,因此需要配置MFF的网络接口。

上行连接网关和其他网络设备的接口需要被配置为网络接口。

注意事项

不论接口所属VLAN是否使能了MFF功能,都可以配置网络接口功能。但只有先执行mac-forced-forwarding enable命令使能MFF的功能后,配置的MFF网络接口才真正生效。

可配置多个接口为网络接口。

使用实例

# 配置GE1/0/1接口为网络接口。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-forced-forwarding network-port
Info: This operation may take a few seconds. Please wait for a moment.....

mac-forced-forwarding network-port-arp-trigger

命令功能

mac-forced-forwarding network-port-arp-trigger命令用来使能从网络侧收到用户的ARP报文后删除MFF表项功能。

undo mac-forced-forwarding network-port-arp-trigger命令用来去使能从网络侧收到用户的ARP报文后删除MFF表项功能。

缺省情况下,未使能从网络侧收到用户的ARP报文后删除MFF表项功能。

命令格式

mac-forced-forwarding network-port-arp-trigger

undo mac-forced-forwarding network-port-arp-trigger

参数说明

视图

VLAN视图

缺省级别

2:配置级

使用指南

应用场景

在数据中心场景中,用户与虚拟机服务器通过MFF在EAN设备上进行二层隔离。当虚拟机在不同的服务器之间进行了迁移,并且迁移前后连接在不同EAN设备的情况下,可能出现原EAN设备上该虚拟机的绑定关系表项还未老化,原EAN设备会认为此虚拟机仍然是MFF主机,如果存在攻击者模拟虚拟机的IP和MAC信息访问用户或者发送请求用户的ARP报文,原EAN设备检查通过,无法抑制攻击。此时在原EAN设备上配置mac-forced-forwarding network-port-arp-trigger,使其从网络侧收到该虚拟机的ARP报文后,可以确定该虚拟机已经迁移到其它EAN设备下,删除本设备上该虚拟机对应的MFF表项。

前置条件

配置该命令前需要先在全局和VLAN下执行mac-forced-forwarding enable命令使能MFF功能。

使用实例

# 使能从网络侧收到用户的ARP报文后删除MFF表项功能。

<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] mac-forced-forwarding enable
[HUAWEI-vlan100] mac-forced-forwarding network-port-arp-trigger

mac-forced-forwarding server

命令功能

mac-forced-forwarding server命令用来配置网络中部署的服务器。

undo mac-forced-forwarding server命令用来删除已配置的网络中部署的服务器。

缺省情况下,没有配置网络中部署的服务器。

命令格式

mac-forced-forwarding server server-ip &<1–10>

undo mac-forced-forwarding server { server-ip | all }

参数说明

参数 参数说明 取值
server-ip 指定服务器的IP地址。 点分十进制格式。
说明:

此IP地址必须为A、B、C三类IP地址,且A类IP地址不能为0.x.x.x。

all 指定所有配置的服务器IP地址。 -

视图

VLAN视图

缺省级别

2:配置级

使用指南

应用场景

在网络中除了网关外可能还部署了应用服务器,比如DHCP Server、组播服务器、其他业务服务器等。此时可以在部署MFF特性的设备上指定应用服务器的IP地址,设置用户可以访问的应用服务器列表。

  • 当MFF设备的网络侧接口收到指定应用服务器的ARP请求时,默认情况下,MFF设备会以用户MAC地址进行代答,这样服务器发送给用户的报文无需经过网关转发;
  • 如果MFF设备上同时配置了透传网关探测用户状态的报文功能,MFF设备则会以网关MAC地址进行代答,此时服务器发送给用户的报文需要经过网关转发。

前置条件

执行mac-forced-forwarding server命令前,需要先执行mac-forced-forwarding enable命令使能该VLAN的MFF功能。

注意事项

当配置服务器的数量已经达到上限10个时,需要执行undo mac-forced-forwarding server { server-ip | all }命令删除原有配置,才能配置新的服务器。

说明:

通常在应用服务器与客户端在同一个VLAN内时才需要配置此命令。

使用实例

# 在VLAN100下配置一个网络服务器,IP地址为192.168.1.2。

<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] mac-forced-forwarding enable
[HUAWEI-vlan100] mac-forced-forwarding server 192.168.1.2

mac-forced-forwarding static-gateway

命令功能

mac-forced-forwarding static-gateway命令用来配置VLAN中的静态网关。

undo mac-forced-forwarding static-gateway命令用来取消VLAN中配置的静态网关。

缺省情况下,未配置VLAN中的静态网关。

命令格式

mac-forced-forwarding static-gateway ip-address &<1-16>

undo mac-forced-forwarding static-gateway { ip-address | all }

参数说明

参数 参数说明 取值
ip-address 指定静态网关IP地址,用于指定某个VLAN的静态默认网关。该命令一次可给指定VLAN配置多个静态网关IP地址,最多16个。 点分十进制格式。
说明:

此IP地址必须为A、B、C三类IP地址,且A类IP地址不能为0.x.x.x。

all 取消VLAN中配置的所有静态网关。 -

视图

VLAN视图

缺省级别

2:配置级

使用指南

应用场景

应用于存在静态配置IP地址用户的场景中。对于静态配置IP地址的用户,用户无法通过DHCP报文来动态获取网关信息,因此一个VLAN下需要维护一个静态网关地址来为这些用户服务。通过执行mac-forced-forwarding static-gateway命令配置静态网关来访问网络,而原来经DHCP服务器授权网关的用户可访问的网关则不会改变。

前置条件

需要先执行mac-forced-forwarding enable命令使能MFF的功能。

注意事项

如果在已配置静态网关的情况下试图改变静态网关的IP地址,会导致接入用户无法访问网络。这是由于用户ARP表中对应的MAC地址属于原网关,在设备上重新配置了新网关后,用户会因为没有及时更新ARP表项(即ARP表项中对应的MAC地址未更新成新网关的MAC地址)而无法正常通信。

使用实例

# 在VLAN100下配置静态网关10.1.1.10。

<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] mac-forced-forwarding enable
[HUAWEI-vlan100] mac-forced-forwarding static-gateway 10.1.1.10

mac-forced-forwarding user-detect transparent

命令功能

mac-forced-forwarding user-detect transparent命令用来使能探测用户状态的ARP报文透传功能。

undo mac-forced-forwarding user-detect transparent命令用来去使能探测用户状态的ARP报文透传功能。

缺省情况下,未使能探测用户状态报文透传功能。

命令格式

mac-forced-forwarding user-detect transparent

undo mac-forced-forwarding user-detect transparent

参数说明

视图

VLAN视图

缺省级别

2:配置级

使用指南

应用场景

在MFF组网中,网关可能用来计费,如果按照时间计费,网关需要感知用户某个时刻是否在线。MFF默认的处理方式是:网关对于用户的请求会被配置MFF特性的MFF设备直接代答,只要MFF表项未老化,MFF设备始终能代答网关的请求,网关获得的信息是用户始终在线,但实际上用户可能已经下线。

为了避免这种情况,可以配置网关探测用户状态的ARP报文透传功能,使MFF设备透传网关发给用户的ARP请求报文,不再进行ARP代答。如果网关收不到用户发出的ARP应答报文,则可以判断该用户已下线,从而达到时刻关注用户在线状态并准确计费的目的。

前置条件

需要先执行mac-forced-forwarding enable命令使能MFF的功能。

注意事项

在非上述特殊的场景下,建议采用缺省配置。

使用实例

# 在VLAN10下配置探测用户状态的ARP报文透传功能。

<HUAWEI> system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] mac-forced-forwarding enable
[HUAWEI-vlan10] mac-forced-forwarding user-detect transparent
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:11640

下载量:202

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页