H3C 中低端以太网交换机安全典型配置指导-6W100

10-MFF典型配置指导

1 MFF典型配置指导

1.1 自动方式树型组网典型配置举例

1.1.1 应用要求

网络结构如图1-1所示：

网络中Switch A和Switch B作为接入交换机连接Host A、Host B和Host C，Switch C作为汇聚交换机连接网关，Host A、Host B和Host C通过DHCP服务器动态获取IP地址，所有设备在同一VLAN内。为了方便网络监管，网络管理员希望实现客户端主机间的二层隔离和三层互通，并且主机间的流量都能够通过网关进行转发。

1.1.2 配置思路

l Host A、Host B和Host C通过DHCP服务器动态获取IP地址，可以在Switch A和Switch B上配置自动方式MFF功能。

l 为了获取到网关IP地址，需要配置DHCP Snooping功能。

1.1.3 适用产品、版本

表1-1 配置适用的产品与软件版本关系

产品	软件版本
S5800&S5820X系列以太网交换机	Release 1110，Release 1211
CE3000-32F以太网交换机	Release 1211
S3610&S5510系列以太网交换机	Release 5306，Release 5309
S3500-EA系列以太网交换机	Release 5309

1.1.4 配置过程和解释

(1) 配置Gateway

# 配置接口的IP地址。

<Gateway> system-view

[Gateway] interface Vlan-interface 1

[Gateway-Vlan-interface1] ip address 10.1.1.100 24

(2) 配置DHCP服务器

# 使能DHCP服务并创建DHCP地址池。

<Device> system-view

[Device] dhcp enable

[Device] dhcp server ip-pool 1

[Device-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0

# 配置DHCP地址池为DHCP客户端分配的网关地址。

[Device-dhcp-pool-1] gateway-list 10.1.1.100

[Device-dhcp-pool-1] quit

# 配置接口的IP地址。

[Device] interface Vlan-interface 1

[Device-Vlan-interface1] ip address 10.1.1.50 24

(3) 配置Switch A

# 使能DHCP Snooping功能。

<SwitchA> system-view

[SwitchA] dhcp-snooping

# 使能自动方式MFF功能。

[SwitchA] vlan 1

[SwitchA-vlan-1] mac-forced-forwarding auto

[SwitchA-vlan-1] quit

# 配置网络端口。

[SwitchA] interface GigabitEthernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] mac-forced-forwarding network-port

# 配置DHCP Snooping信任端口。

[SwitchA-GigabitEthernet1/0/2] dhcp-snooping trust

(4) 配置Switch B

# 使能DHCP Snooping功能。

<SwitchB> system-view

[SwitchB] dhcp-snooping

# 使能自动方式MFF功能。

[SwitchB] vlan 1

[SwitchB-vlan-1] mac-forced-forwarding auto

[SwitchB-vlan-1] quit

# 配置网络端口。

[SwitchB] interface GigabitEthernet 1/0/6

[SwitchB-GigabitEthernet1/0/6] mac-forced-forwarding network-port

# 配置DHCP Snooping信任端口。

[SwitchB-GigabitEthernet1/0/6] dhcp-snooping trust

1.1.5 完整配置

l 配置Gateway

vlan 1

interface Vlan-interface1

ip address 10.1.1.100 255.255.255.0

l 配置DHCP服务器

vlan 1

dhcp server ip-pool 1

network 10.1.1.0 mask 255.255.255.0

gateway-list 10.1.1.100

interface Vlan-interface1

ip address 10.1.1.50 255.255.255.0

dhcp enable

l 配置Switch A

dhcp-snooping

vlan 1

mac-forced-forwarding auto

interface GigabitEthernet1/0/6

dhcp-snooping trust

mac-forced-forwarding network-port

l 配置Switch B

dhcp-snooping

vlan 1

mac-forced-forwarding auto

interface GigabitEthernet1/0/2

dhcp-snooping trust

mac-forced-forwarding network-port

1.1.6 配置注意事项

客户端与配置了MFF功能的设备之间是隔离的，即不能ping通。

1.2 自动方式环型组网典型配置指导

1.2.1 应用要求

网络结构如图1-2所示：

图1-2 自动方式环型典型配置组网图

1.2.2 配置思路

l Host A、Host B和Host C通过DHCP服务器动态获取IP地址，可以在Switch A和Switch B上配置自动方式MFF功能。

l 为了获取到网关IP地址，需要配置DHCP Snooping功能。

l Switch A、Switch B和Switch C彼此相连，为防止造成环路，需要开启STP功能。

l Switch A的端口GigabitEthernet 1/0/3和SwitchB的端口GigabitEthernet 1/0/4配置为网络端口。

1.2.3 适用产品、版本

表1-2 配置适用的产品与软件版本关系

产品	软件版本
S5800&S5820X系列以太网交换机	Release 1110，Release 1211
CE3000-32F以太网交换机	Release 1211
S3610&S5510系列以太网交换机	Release 5306，Release 5309
S3500-EA系列以太网交换机	Release 5309

1.2.4 配置过程和解释

(1) 配置Gateway

# 配置接口的IP地址。

<Gateway> system-view

[Gateway] interface Vlan-interface 1

[Gateway-Vlan-interface1] ip address 10.1.1.100 24

(2) 配置DHCP服务器

# 使能DHCP服务并创建DHCP地址池。

<Device> system-view

[Device] dhcp enable

[Device] dhcp server ip-pool 1

[Device-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0

# 配置DHCP地址池为DHCP客户端分配的网关地址。

[Device-dhcp-pool-1] gateway-list 10.1.1.100

[Device-dhcp-pool-1] quit

# 配置接口的IP地址。

[Device] interface Vlan-interface 1

[Device-Vlan-interface1] ip address 10.1.1.50 24

(3) 配置Switch A

# 使能DHCP Snooping功能。

<SwitchA> system-view

[SwitchA] dhcp-snooping

# 启动STP协议。

[SwitchA] stp enable

# 使能自动方式MFF功能。

[SwitchA] vlan 1

[SwitchA-vlan-1] mac-forced-forwarding auto

[SwitchA-vlan-1] quit

# 配置网络端口。

[SwitchA] interface GigabitEthernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] mac-forced-forwarding network-port

# 配置DHCP Snooping信任端口。

[SwitchA-GigabitEthernet1/0/2] dhcp-snooping trust

[SwitchA-GigabitEthernet1/0/2] quit

# 配置网络端口。

[SwitchA] interface GigabitEthernet 1/0/3

[SwitchA-GigabitEthernet1/0/3] mac-forced-forwarding network-port

# 配置DHCP Snooping信任端口。

[SwitchA-GigabitEthernet1/0/3] dhcp-snooping trust no-user-binding

(4) 配置Switch B

# 使能DHCP Snooping功能。

<SwitchB> system-view

[SwitchB] dhcp-snooping

# 启动STP协议。

[SwitchB] stp enable

# 使能自动方式MFF功能。

[SwitchB] vlan 1

[SwitchB-vlan-1] mac-forced-forwarding auto

[SwitchB-vlan-1] quit

# 配置网络端口。

[SwitchB] interface GigabitEthernet 1/0/4

[SwitchB-GigabitEthernet1/0/4] mac-forced-forwarding network-port

# 配置DHCP Snooping信任端口。

[SwitchB-GigabitEthernet1/0/4] dhcp-snooping trust no-user-binding

[SwitchB-GigabitEthernet1/0/4] quit

# 配置网络端口。

[SwitchB] interface GigabitEthernet 1/0/6

[SwitchB-GigabitEthernet1/0/6] mac-forced-forwarding network-port

# 配置DHCP Snooping信任端口。

[SwitchB-GigabitEthernet1/0/6] dhcp-snooping trust

(5) 配置Switch C

# 启动STP协议。

<SwitchC> system-view

[SwitchC] stp enable

1.2.5 完整配置

l 配置Gateway

vlan 1

interface Vlan-interface1

ip address 10.1.1.100 255.255.255.0

l 配置DHCP服务器

vlan 1

dhcp server ip-pool 1

network 10.1.1.0 mask 255.255.255.0

gateway-list 10.1.1.100

interface Vlan-interface1

ip address 10.1.1.50 255.255.255.0

dhcp enable

l 配置Switch A

dhcp-snooping

vlan 1

mac-forced-forwarding auto

stp enable

interface GigabitEthernet1/0/2

dhcp-snooping trust

mac-forced-forwarding network-port

interface GigabitEthernet1/0/3

dhcp-snooping trust no-user-binding

mac-forced-forwarding network-port

l 配置Switch B

dhcp-snooping

vlan 1

mac-forced-forwarding auto

stp enable

interface GigabitEthernet1/0/4

dhcp-snooping trust no-user-binding

mac-forced-forwarding network-port

interface GigabitEthernet1/0/6

dhcp-snooping trust

mac-forced-forwarding network-port

l 配置Switch C

stp enable

1.2.6 配置注意事项

客户端与配置了MFF功能的设备之间是隔离的，即不能ping通。

1.3 手工方式树型组网典型配置指导

1.3.1 应用要求

网络环境如图1-3所示：

图1-3 手工方式下树型典型配置组网图

网络中Switch A和Switch B作为接入交换机连接Host A、Host B和Host C，Switch C作为汇聚交换机连接网关，Host A、Host B和Host C上配置静态IP地址，所有设备在同一VLAN内。为了方便网络监管，网络管理员希望实现客户端主机间的二层隔离和三层互通，并且主机间的流量都能够通过网关进行转发。

1.3.2 配置思路

l Host A、Host B和Host C上配置静态IP地址，可以在Switch A和Switch B上配置手动方式MFF功能。

l 为了减少网络侧和用户侧之间的广播报文数量，MFF可以代答网关对用户的ARP请求，需要配置ARP Snooping功能。

l 为了在配置MFF功能后，主机仍然能够访问服务器，就需要在使能MFF功能的设备的服务器列表中添加此服务器的IP地址，否则，客户端与服务器之间不能进行通信。

1.3.3 适用产品、版本

表1-3 配置适用的产品与软件版本关系

产品	软件版本
S5800&S5820X系列以太网交换机	Release 1110，Release 1211
CE3000-32F以太网交换机	Release 1211
S3610&S5510系列以太网交换机	Release 5306，Release 5309
S3500-EA系列以太网交换机	Release 5309

1.3.4 配置过程和解释

(1) 如上图在客户端配置静态IP地址

(2) 配置Gateway

# 配置接口的IP地址。

<Gateway> system-view

[Gateway] interface Vlan-interface 1

[Gateway-Vlan-interface1] ip address 10.1.1.100 24

(3) 配置Switch A

# 使能手工方式MFF功能。

[SwitchA] vlan 1

[SwitchA-vlan-1] mac-forced-forwarding default-gateway 10.1.1.100

# 配置网络中部署的服务器的IP地址为10.1.1.200。

[SwitchA-vlan-1] mac-forced-forwarding server 10.1.1.200

# 使能ARP Snooping功能。

[SwitchA-vlan-1] arp-snooping enable

[SwitchA-vlan-1] quit

# 配置网络端口。

[SwitchA] interface GigabitEthernet 1/0/2

[SwitchA-GigabitEthernet 1/0/2] mac-forced-forwarding network-port

(4) 配置Switch B

# 使能手工方式MFF功能。

[SwitchB] vlan 1

[SwitchB-vlan-1] mac-forced-forwarding default-gateway 10.1.1.100

# 配置网络中部署的服务器的IP地址为10.1.1.200。

[SwitchB-vlan-1] mac-forced-forwarding server 10.1.1.200

# 使能ARP Snooping功能。

[SwitchB-vlan-1] arp-snooping enable

[SwitchB-vlan-1] quit

# 配置网络端口。

[SwitchB] interface GigabitEthernet 1/0/6

[SwitchB-GigabitEthernet1/0/6] mac-forced-forwarding network-port

1.3.5 完整配置

l 配置Gateway

vlan 1

interface Vlan-interface1

ip address 10.1.1.100 255.255.255.0

l 配置Switch A

vlan 1

mac-forced-forwarding default-gateway 10.1.1.100

mac-forced-forwarding server 10.1.1.200

arp-snooping enable

interface GigabitEthernet1/0/2

mac-forced-forwarding network-port

l 配置Switch B

vlan 1

mac-forced-forwarding default-gateway 10.1.1.100

mac-forced-forwarding server 10.1.1.200

arp-snooping enable

interface GigabitEthernet1/0/6

mac-forced-forwarding network-port

l Switch A的端口GigabitEthernet 1/0/3和SwitchB的端口GigabitEthernet1/0/4配置为网络端口。

l 为了减少网络侧和用户侧之间的广播报文数量，MFF可以代答网关对用户的ARP请求，需要配置ARP Snooping功能。

1.4.3 适用产品、版本

表1-4 配置适用的产品与软件版本关系

产品	软件版本
S5800&S5820X系列以太网交换机	Release 1110，Release 1211
CE3000-32F以太网交换机	Release 1211
S3610&S5510系列以太网交换机	Release 5306，Release 5309
S3500-EA系列以太网交换机	Release 5309

1.4.4 配置过程和解释

(1) 如上图在客户端配置静态IP地址

(2) 配置Gateway

# 配置接口的IP地址。

<Gateway> system-view

[Gateway] interface Vlan-interface 1

[Gateway-Vlan-interface1] ip address 10.1.1.100 24

(3) 配置Switch A

# 启动STP协议。

[SwitchA] stp enable

# 使能手工方式MFF功能。

[SwitchA] vlan 1

[SwitchA-vlan-1] mac-forced-forwarding default-gateway 10.1.1.100

# 配置网络中部署的服务器的IP地址为10.1.1.200。

[SwitchA-vlan-1] mac-forced-forwarding server 10.1.1.200

# 使能ARP Snooping功能。

[SwitchA-vlan-1] arp-snooping enable

[SwitchA-vlan-1] quit

# 配置网络端口。

[SwitchA] interface GigabitEthernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] mac-forced-forwarding network-port

[SwitchA-GigabitEthernet1/0/2] quit

[SwitchA] interface GigabitEthernet 1/0/3

[SwitchA-GigabitEthernet1/0/3] mac-forced-forwarding network-port

(4) 配置Switch B

# 启动STP协议。

[SwitchB] stp enable

# 使能手工方式MFF功能。

[SwitchB] vlan 1

[SwitchB-vlan-1] mac-forced-forwarding default-gateway 10.1.1.100

# 配置网络中部署的服务器的IP地址为10.1.1.200。

[SwitchB-vlan-1] mac-forced-forwarding server 10.1.1.200

# 使能ARP Snooping功能。

[SwitchB-vlan-1] arp-snooping enable

[SwitchB-vlan-1] quit

# 配置网络端口。

[SwitchB] interface GigabitEthernet 1/0/4

[SwitchB-GigabitEthernet1/0/4] mac-forced-forwarding network-port

[SwitchB-GigabitEthernet1/0/4] quit

[SwitchB] interface GigabitEthernet 1/0/6

[SwitchB-GigabitEthernet1/0/6] mac-forced-forwarding network-port

(5) 配置Switch C

# 启动STP协议。

<SwitchC> system-view

[SwitchC] stp enable

1.4.5 完整配置

l 配置Gateway

vlan 1

interface Vlan-interface1

ip address 10.1.1.100 255.255.255.0

l 配置Switch A

vlan 1

mac-forced-forwarding default-gateway 10.1.1.100

mac-forced-forwarding server 10.1.1.200

arp-snooping enable

stp enable

interface GigabitEthernet1/0/2

mac-forced-forwarding network-port

interface GigabitEthernet1/0/3

mac-forced-forwarding network-port

l 配置Switch B

vlan 1

mac-forced-forwarding default-gateway 10.1.1.100

mac-forced-forwarding server 10.1.1.200

arp-snooping enable

stp enable

interface GigabitEthernet1/0/4

mac-forced-forwarding network-port

interface GigabitEthernet1/0/6

mac-forced-forwarding network-port

l 配置Switch C

stp enable

1.4.6 配置注意事项

客户端与配置了MFF功能的设备之间是隔离的，即不能ping通。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

热门推荐

智能联接

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

行业解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

H3C 中低端以太网交换机 安全典型配置指导-6W100

目录

10-MFF典型配置指导

1 MFF典型配置指导

联系我们

H3C 中低端以太网交换机安全典型配置指导-6W100