配置MFF功能实现用户的二层隔离和三层互通示例

CloudEngine 12800, 12800E V200R005C10 配置指南-安全

本文档介绍了安全的配置，具体包括AAA配置、802.1x认证配置、ACL配置、TCAM ACL资源自定义配置、本机防攻击配置、微分段、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、MACsec配置、DHCP Snooping配置、IPSG配置、URPF配置、SSL配置、Keychain配置和FIPS配置。

前言
AAA配置
- AAA简介
- AAA原理描述
- AAA应用场景
- AAA配置注意事项
- AAA配置任务概览
- 配置采用本地方式进行认证和授权
- 配置采用RADIUS方式进行认证、授权和计费
- 配置采用HWTACACS方式进行认证、授权和计费
- 清除AAA统计信息
- AAA配置举例
  - 配置采用RADIUS协议进行认证和计费示例
  - 配置采用HWTACACS协议进行认证、授权和计费示例
- AAA常见配置错误
  - 配置简单密码导致创建AAA本地用户失败
802.1x认证配置
- 802.1x原理描述
- 802.1x应用场景
- 802.1x配置注意事项
- 802.1x缺省配置
- 配置802.1x认证
- 维护802.1x认证
  - 清除802.1x认证报文统计信息
  - 强制在线用户下线
- 802.1x配置举例
  - 配置通过802.1x认证控制企业用户访问网络示例
ACL配置
- ACL简介
- ACL原理描述
- ACL应用场景
- ACL配置注意事项
- ACL缺省配置
- 配置基本ACL
- 配置高级ACL
- 配置二层ACL
- 配置用户自定义ACL
- 配置基于ARP的ACL
- 配置基本ACL6
- 配置高级ACL6
- 维护ACL
  - 清除ACL的统计信息
  - 查看业务使用ACL资源的信息
- ACL配置举例
- ACL FAQ
  - 应用在流策略中的ACL不支持对哪些报文进行过滤？
TCAM ACL资源自定义配置
- TCAM ACL资源自定义简介
- TCAM ACL资源自定义配置注意事项
- TCAM ACL资源自定义功能配置
  - 使能TCAM ACL资源自定义功能
  - 配置业务使用TCAM ACL资源自定义功能
- 查看TCAM ACL自定义模板或预置模板信息
- TCAM ACL资源自定义配置举例
  - 配置TCAM ACL资源自定义示例
微分段配置
- 微分段简介
- 微分段原理描述
- 微分段应用场景
- 微分段配置注意事项
- 配置微分段
- 维护微分段
  - 查看微分段统计信息
  - 清除微分段统计信息
- 微分段配置举例
  - 配置基于IP地址的微分段示例
本机防攻击配置
- 本机防攻击简介
- 本机防攻击配置注意事项
- 本机防攻击缺省配置
- 配置CPU防攻击
- 配置攻击溯源
- 维护本机防攻击
- 本机防攻击配置举例
  - 配置本机防攻击示例
- 本机防攻击常见配置错误
MFF配置
- MFF简介
- MFF原理描述
- MFF应用场景
- MFF配置注意事项
- 配置MFF
- MFF配置举例
  - 配置MFF功能实现用户的二层隔离和三层互通示例
- MFF常见配置错误
  - 配置MFF功能后用户不能上网
攻击防范配置
- 攻击防范简介
- 攻击防范原理描述
- 攻击防范应用场景
- 攻击防范配置注意事项
- 攻击防范缺省配置
- 配置畸形报文攻击防范
- 配置分片报文攻击防范
- 配置泛洪攻击防范
- 清除攻击防范统计信息
- 攻击防范配置举例
  - 配置攻击防范示例
流量抑制及风暴控制配置
- 流量抑制及风暴控制简介
- 流量抑制及风暴控制原理描述
  - 流量抑制的基本原理
  - 风暴控制的基本原理
- 流量抑制及风暴控制应用场景
  - 流量抑制的典型应用
  - 风暴控制的典型应用
- 流量抑制及风暴控制配置注意事项
- 流量抑制及风暴控制缺省配置
- 配置流量抑制
- 配置风暴控制
- 流量抑制及风暴控制配置举例
  - 配置流量抑制示例
  - 配置风暴控制示例
ARP安全配置
- ARP安全简介
- ARP安全原理描述
- ARP安全应用场景
  - 防ARP泛洪攻击
  - 防ARP欺骗攻击
- ARP安全配置注意事项
- ARP安全缺省配置
- 配置防ARP泛洪攻击
- 配置防ARP欺骗攻击
- 维护ARP安全
- ARP安全配置举例
  - 配置ARP安全综合功能示例
  - 配置防止ARP中间人攻击示例
端口安全配置
- 端口安全简介
- 端口安全原理描述
- 端口安全应用场景
- 端口安全配置注意事项
- 端口安全缺省配置
- 配置端口安全
- 端口安全配置举例
  - 配置端口安全示例
MACsec配置
- MACsec简介
- MACsec原理描述
- MACsec应用场景
- MACsec缺省配置
- MACsec配置注意事项
- 配置MACsec
- 维护MACsec
  - 查看MACsec统计信息
  - 清除MACsec统计信息
- MACsec配置举例
  - 配置点到点的MACsec示例
DHCP Snooping配置
- DHCP Snooping简介
- DHCP Snooping原理描述
  - DHCP Snooping的基本原理
  - DHCP Snooping支持的Option82功能
- DHCP Snooping应用场景
- DHCP Snooping配置注意事项
- DHCP Snooping缺省配置
- 配置DHCP Snooping的基本功能
- 配置DHCP Snooping的攻击防范功能
- 配置在DHCP报文中添加Option82字段
- 维护DHCP Snooping
- DHCP Snooping配置举例
  - 配置DHCP Snooping的攻击防范功能示例
- DHCP Snooping常见配置错误
  - DHCP Snooping导致用户无法上线
IPSG配置
- IPSG概述
- IPSG配置注意事项
- IPSG缺省配置
- 配置IPSG
- 维护IPSG
  - 查看丢弃的IP报文统计信息
  - 清除丢弃的IP报文统计信息
- IPSG配置举例
  - 配置通过IPSG功能对IP报文的接口+IP+MAC信息进行匹配检查示例
URPF配置
- URPF概述
- URPF原理描述
- URPF应用场景
- URPF配置注意事项
- URPF缺省配置
- 配置URPF
- URPF配置举例
  - 配置URPF功能示例（CE12800）
  - 配置URPF功能示例（CE12800E）
SSL配置
- SSL简介
- SSL原理描述
- SSL应用场景
  - SSL在信息中心中的应用
- SSL配置注意事项
- 配置SSL
  - 配置SSL策略
  - 应用SSL策略
- SSL配置举例
  - 配置向日志主机输出SSL加密后的Log信息示例
Keychain配置
- Keychain简介
- Keychain原理描述
- Keychain应用场景
- Keychain配置注意事项
- 配置Keychain
- Keychain配置举例
  - 配置RIP应用Keychain认证示例
  - 配置BGP应用Keychain认证示例
FIPS配置
- FIPS概述
- 配置FIPS模式
业务与管理隔离配置
安全风险查询
设置系统主密钥

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

配置MFF功能实现用户的二层隔离和三层互通示例

组网需求

如图7-5所示，企业某部门使用SwitchA和SwitchB作为用户的接入设备，SwitchC作为汇聚设备。管理员希望位于VLAN10内的用户在接入设备上二层隔离，并且只能通过网关进行三层通信，从而达到网关对用户流量进行监控的目的。由于用户数量较多，为了便于统一管理IP地址，该部门的用户均通过DHCP方式获取IP地址，管理员希望应用服务器（DHCP Server）访问用户的流量可以二层透传给用户，避免网关因转发过多应用服务器的流量而影响网关性能。

图7-5 配置MFF组网图

配置思路

采用如下思路在SwitchA和SwitchB上进行以下配置:

配置DHCP Snooping功能，为二层隔离和三层互通功能的实现提供包含IP地址、MAC地址、VLAN等动态用户的信息。
配置MFF功能，强制用户流量由网关进行转发，实现用户之间的二层隔离和三层互通，同时达到网关对用户流量进行监控的目的。
配置DHCP Server的IP地址，使DHCP Server访问用户的流量可以二层透传给用户，从而减轻网关的负担。
配置探测用户状态报文透传，使网关可以及时感知用户状态。

操作步骤

创建VLAN并配置各接口加入VLAN

# 在SwitchA上创建VLAN10，并将接口10GE1/0/1、10GE1/0/2、10GE1/0/3加入到VLAN10中。

<HUAWEI> system-view
[~HUAWEI] sysname SwitchA
[*HUAWEI] commit
[~SwitchA] vlan batch 10

[*SwitchA] interface 10ge 1/0/1
[*SwitchA-10GE1/0/1] port link-type access
[*SwitchA-10GE1/0/1] port default vlan 10
[*SwitchA-10GE1/0/1] quit

[*SwitchA] interface 10ge 1/0/2
[*SwitchA-10GE1/0/2] port link-type access
[*SwitchA-10GE1/0/2] port default vlan 10
[*SwitchA-10GE1/0/2] quit

[*SwitchA] interface 10ge 1/0/3
[*SwitchA-10GE1/0/3] port link-type trunk
[*SwitchA-10GE1/0/3] port trunk allow-pass vlan 10
[*SwitchA-10GE1/0/3] quit

# 在SwitchB上创建VLAN10，并将接口10GE1/0/1、10GE1/0/2、10GE1/0/3加入到VLAN10中。

<HUAWEI> system-view
[~HUAWEI] sysname SwitchB
[*HUAWEI] commit
[~SwitchB] vlan batch 10

[*SwitchB] interface 10ge 1/0/1
[*SwitchB-10GE1/0/1] port link-type access
[*SwitchB-10GE1/0/1] port default vlan 10
[*SwitchB-10GE1/0/1] quit

[*SwitchB] interface 10ge 1/0/2
[*SwitchB-10GE1/0/2] port link-type access
[*SwitchB-10GE1/0/2] port default vlan 10
[*SwitchB-10GE1/0/2] quit

[*SwitchB] interface 10ge 1/0/3
[*SwitchB-10GE1/0/3] port link-type trunk
[*SwitchB-10GE1/0/3] port trunk allow-pass vlan 10
[*SwitchB-10GE1/0/3] quit

配置DHCP Snooping功能

# 在SwitchA上全局使能DHCP Snooping功能。

[*SwitchA] dhcp enable
[*SwitchA] dhcp snooping enable

# 因所有用户均位于VLAN10，所以在SwitchA上使能VLAN10的DHCP Snooping功能。

[*SwitchA] vlan 10
[*SwitchA-vlan10] dhcp snooping enable
[*SwitchA-vlan10] quit

# 在SwitchA上配置接口10GE1/0/3为DHCP Snooping信任接口。

[*SwitchA] interface 10ge 1/0/3
[*SwitchA-10GE1/0/3] dhcp snooping trusted
[*SwitchA-10GE1/0/3] quit

# 在SwitchB上全局使能DHCP Snooping功能。

[*SwitchB] dhcp enable
[*SwitchB] dhcp snooping enable

# 因所有用户均位于VLAN10，所以在SwitchB上使能VLAN10的DHCP Snooping功能。

[*SwitchB] vlan 10
[*SwitchB-vlan10] dhcp snooping enable
[*SwitchB-vlan10] quit

# 在SwitchB上配置接口10GE1/0/3为DHCP Snooping信任接口。

[*SwitchB] interface 10ge 1/0/3
[*SwitchB-10GE1/0/3] dhcp snooping trusted
[*SwitchB-10GE1/0/3] quit

配置MFF的基本功能

# 使能SwitchA的全局MFF功能。

[*SwitchA] mac-forced-forwarding enable

# 配置SwitchA的10GE1/0/3为网络接口。

[*SwitchA] interface 10ge 1/0/3

[*SwitchA-10GE1/0/3] mac-forced-forwarding network-port

[*SwitchA-10GE1/0/3] quit

# 在SwitchA上使能VLAN10的MFF功能。

[*SwitchA] vlan 10

[*SwitchA-vlan10] mac-forced-forwarding enable

# 在SwitchA上配置网关定时探测功能。

[*SwitchA-vlan10] mac-forced-forwarding gateway-detect

# 使能SwitchB的全局MFF功能。

[*SwitchB] mac-forced-forwarding enable

# 配置SwitchB的10GE1/0/3为网络接口。

[*SwitchB] interface 10ge 1/0/3

[*SwitchB-10GE1/0/3] mac-forced-forwarding network-port

[*SwitchB-10GE1/0/3] quit

# 在SwitchB上使能VLAN10的MFF功能。

[*SwitchB] vlan 10

[*SwitchB-vlan10] mac-forced-forwarding enable

# 在SwitchB上配置网关定时探测功能。

[*SwitchB-vlan10] mac-forced-forwarding gateway-detect

配置应用服务器的IP地址
# 在SwitchA上配置应用服务器的IP地址。
```
[*SwitchA-vlan10] mac-forced-forwarding server 10.1.1.2
```
# 在SwitchB上配置应用服务器的IP地址。
```
[*SwitchB-vlan10] mac-forced-forwarding server 10.1.1.2
```

配置探测用户状态报文透传功能

# 在SwitchA上配置探测用户状态报文透传功能。

[*SwitchA-vlan10] mac-forced-forwarding user-detect transparent

[*SwitchA-vlan10] quit

[*SwitchA] commit

[~SwitchA] quit

# 在SwitchB上配置探测用户状态报文透传功能。

[*SwitchB-vlan10] mac-forced-forwarding user-detect transparent

[*SwitchB-vlan10] quit

[*SwitchB] commit

[~SwitchB] quit

验证配置结果

#以SwitchB为例，执行命令display mac-forced-forwarding vlan 10查看VLAN10下的MFF配置情况。

<SwitchB> display mac-forced-forwarding vlan 10

Flags: S - static, D - dynamic      
---------------------------------------------------------------------------     
Gateway detect         : enable                                                 
Dynamic user learning  : enable                                                 
User-detect transparent: enable                                                 
Static gateway         : -                                                      
Max user               : -                                                      
Servers                : 10.1.1.2
                 
---------------------------------------------------------------------------
Gateway IP      Gateway MAC
---------------------------------------------------------------------------
10.1.1.1       3867-9a11-0111  
10.1.1.2       3867-9a11-0112  
---------------------------------------------------------------------------
                                 
---------------------------------------------------------------------------
User IP         User MAC        Gateway IP      Interface             Flags 
---------------------------------------------------------------------------
10.1.1.10      0001-0001-0002   10.1.1.1       10GE1/0/2              D 
---------------------------------------------------------------------------
MFF host total count = 1

# 此时如果将网关连接SwitchC的接口shut down，则VLAN10内的任意两个用户之间不能Ping通，而将该接口恢复为正常状态后，用户就能相互Ping通，即表明已实现用户的二层隔离和三层互通，MFF功能已生效。

配置文件

SwitchA的配置文件

#
sysname SwitchA
#
vlan batch 10
#
mac-forced-forwarding enable
#
dhcp enable
#
dhcp snooping enable
#
vlan 10
 dhcp snooping enable  
 mac-forced-forwarding enable
 mac-forced-forwarding user-detect transparent
 mac-forced-forwarding gateway-detect
 mac-forced-forwarding server 10.1.1.2
#
interface 10GE1/0/1
 port default vlan 10
#
interface 10GE1/0/2
 port default vlan 10
#
interface 10GE1/0/3
 port link-type trunk
 port trunk allow-pass vlan 10
 mac-forced-forwarding network-port
 dhcp snooping trusted
#
return

SwitchB的配置文件

#
sysname SwitchB
#
vlan batch 10 
#
mac-forced-forwarding enable
#
dhcp enable
#
dhcp snooping enable
#
vlan 10
 dhcp snooping enable  
 mac-forced-forwarding enable
 mac-forced-forwarding user-detect transparent
 mac-forced-forwarding gateway-detect
 mac-forced-forwarding server 10.1.1.2
#
interface 10GE1/0/1
 port default vlan 10
#
interface 10GE1/0/2
 port default vlan 10
#
interface 10GE1/0/3
 port link-type trunk
 port trunk allow-pass vlan 10
 mac-forced-forwarding network-port
 dhcp snooping trusted
#
return

翻译

English

下载文档

更新时间：2021-09-17

文档编号：EDOC1100075484

浏览量：106147

下载量：460

平均得分:

本文档适用于这些产品

数字签名

数字签名验证工具

企业业务网站

华为云网站

运营商网络业务网站

消费者业务网站

集团网站

组网需求

配置思路

操作步骤

配置文件

相关版本

相关文档

数字签名