10-MFF典型配置指导
本章节下载: 10-MFF典型配置指导 (207.17 KB)
目 录
网络结构如图1-1所示:
网络中Switch A和Switch B作为接入交换机连接Host A、Host B和Host C,Switch C作为汇聚交换机连接网关,Host A、Host B和Host C通过DHCP服务器动态获取IP地址,所有设备在同一VLAN内。为了方便网络监管,网络管理员希望实现客户端主机间的二层隔离和三层互通,并且主机间的流量都能够通过网关进行转发。
l Host A、Host B和Host C通过DHCP服务器动态获取IP地址,可以在Switch A和Switch B上配置自动方式MFF功能。
l 为了获取到网关IP地址,需要配置DHCP Snooping功能。
产品 |
软件版本 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S3610&S5510系列以太网交换机 |
Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5309 |
(1) 配置Gateway
# 配置接口的IP地址。
<Gateway> system-view
[Gateway] interface Vlan-interface 1
[Gateway-Vlan-interface1] ip address 10.1.1.100 24
(2) 配置DHCP服务器
# 使能DHCP服务并创建DHCP地址池。
<Device> system-view
[Device] dhcp enable
[Device] dhcp server ip-pool 1
[Device-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0
# 配置DHCP地址池为DHCP客户端分配的网关地址。
[Device-dhcp-pool-1] gateway-list 10.1.1.100
[Device-dhcp-pool-1] quit
# 配置接口的IP地址。
[Device] interface Vlan-interface 1
[Device-Vlan-interface1] ip address 10.1.1.50 24
(3) 配置Switch A
# 使能DHCP Snooping功能。
<SwitchA> system-view
[SwitchA] dhcp-snooping
# 使能自动方式MFF功能。
[SwitchA] vlan 1
[SwitchA-vlan-1] mac-forced-forwarding auto
[SwitchA-vlan-1] quit
# 配置网络端口。
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] mac-forced-forwarding network-port
# 配置DHCP Snooping信任端口。
[SwitchA-GigabitEthernet1/0/2] dhcp-snooping trust
(4) 配置Switch B
# 使能DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp-snooping
# 使能自动方式MFF功能。
[SwitchB] vlan 1
[SwitchB-vlan-1] mac-forced-forwarding auto
[SwitchB-vlan-1] quit
# 配置网络端口。
[SwitchB] interface GigabitEthernet 1/0/6
[SwitchB-GigabitEthernet1/0/6] mac-forced-forwarding network-port
# 配置DHCP Snooping信任端口。
[SwitchB-GigabitEthernet1/0/6] dhcp-snooping trust
l 配置Gateway
#
vlan 1
#
interface Vlan-interface1
ip address 10.1.1.100 255.255.255.0
l 配置DHCP服务器
#
vlan 1
#
dhcp server ip-pool 1
network 10.1.1.0 mask 255.255.255.0
gateway-list 10.1.1.100
#
interface Vlan-interface1
ip address 10.1.1.50 255.255.255.0
#
dhcp enable
#
l 配置Switch A
#
dhcp-snooping
#
vlan 1
mac-forced-forwarding auto
#
interface GigabitEthernet1/0/6
dhcp-snooping trust
mac-forced-forwarding network-port
#
l 配置Switch B
#
dhcp-snooping
#
vlan 1
mac-forced-forwarding auto
#
interface GigabitEthernet1/0/2
dhcp-snooping trust
mac-forced-forwarding network-port
#
客户端与配置了MFF功能的设备之间是隔离的,即不能ping通。
网络结构如图1-2所示:
网络中Switch A和Switch B作为接入交换机连接Host A、Host B和Host C,Switch C作为汇聚交换机连接网关,Host A、Host B和Host C通过DHCP服务器动态获取IP地址,所有设备在同一VLAN内。为了方便网络监管,网络管理员希望实现客户端主机间的二层隔离和三层互通,并且主机间的流量都能够通过网关进行转发。
l Host A、Host B和Host C通过DHCP服务器动态获取IP地址,可以在Switch A和Switch B上配置自动方式MFF功能。
l 为了获取到网关IP地址,需要配置DHCP Snooping功能。
l Switch A、Switch B和Switch C彼此相连,为防止造成环路,需要开启STP功能。
l Switch A的端口GigabitEthernet 1/0/3和SwitchB的端口GigabitEthernet 1/0/4配置为网络端口。
产品 |
软件版本 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S3610&S5510系列以太网交换机 |
Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5309 |
(1) 配置Gateway
# 配置接口的IP地址。
<Gateway> system-view
[Gateway] interface Vlan-interface 1
[Gateway-Vlan-interface1] ip address 10.1.1.100 24
(2) 配置DHCP服务器
# 使能DHCP服务并创建DHCP地址池。
<Device> system-view
[Device] dhcp enable
[Device] dhcp server ip-pool 1
[Device-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0
# 配置DHCP地址池为DHCP客户端分配的网关地址。
[Device-dhcp-pool-1] gateway-list 10.1.1.100
[Device-dhcp-pool-1] quit
# 配置接口的IP地址。
[Device] interface Vlan-interface 1
[Device-Vlan-interface1] ip address 10.1.1.50 24
(3) 配置Switch A
# 使能DHCP Snooping功能。
<SwitchA> system-view
[SwitchA] dhcp-snooping
# 启动STP协议。
[SwitchA] stp enable
# 使能自动方式MFF功能。
[SwitchA] vlan 1
[SwitchA-vlan-1] mac-forced-forwarding auto
[SwitchA-vlan-1] quit
# 配置网络端口。
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] mac-forced-forwarding network-port
# 配置DHCP Snooping信任端口。
[SwitchA-GigabitEthernet1/0/2] dhcp-snooping trust
[SwitchA-GigabitEthernet1/0/2] quit
# 配置网络端口。
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] mac-forced-forwarding network-port
# 配置DHCP Snooping信任端口。
[SwitchA-GigabitEthernet1/0/3] dhcp-snooping trust no-user-binding
(4) 配置Switch B
# 使能DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp-snooping
# 启动STP协议。
[SwitchB] stp enable
# 使能自动方式MFF功能。
[SwitchB] vlan 1
[SwitchB-vlan-1] mac-forced-forwarding auto
[SwitchB-vlan-1] quit
# 配置网络端口。
[SwitchB] interface GigabitEthernet 1/0/4
[SwitchB-GigabitEthernet1/0/4] mac-forced-forwarding network-port
# 配置DHCP Snooping信任端口。
[SwitchB-GigabitEthernet1/0/4] dhcp-snooping trust no-user-binding
[SwitchB-GigabitEthernet1/0/4] quit
# 配置网络端口。
[SwitchB] interface GigabitEthernet 1/0/6
[SwitchB-GigabitEthernet1/0/6] mac-forced-forwarding network-port
# 配置DHCP Snooping信任端口。
[SwitchB-GigabitEthernet1/0/6] dhcp-snooping trust
(5) 配置Switch C
# 启动STP协议。
<SwitchC> system-view
[SwitchC] stp enable
l 配置Gateway
#
vlan 1
#
interface Vlan-interface1
ip address 10.1.1.100 255.255.255.0
#
l 配置DHCP服务器
#
vlan 1
#
dhcp server ip-pool 1
network 10.1.1.0 mask 255.255.255.0
gateway-list 10.1.1.100
#
interface Vlan-interface1
ip address 10.1.1.50 255.255.255.0
#
dhcp enable
#
l 配置Switch A
#
dhcp-snooping
#
vlan 1
mac-forced-forwarding auto
#
stp enable
#
interface GigabitEthernet1/0/2
dhcp-snooping trust
mac-forced-forwarding network-port
#
interface GigabitEthernet1/0/3
dhcp-snooping trust no-user-binding
mac-forced-forwarding network-port
#
l 配置Switch B
#
dhcp-snooping
#
vlan 1
mac-forced-forwarding auto
#
stp enable
#
interface GigabitEthernet1/0/4
dhcp-snooping trust no-user-binding
mac-forced-forwarding network-port
#
interface GigabitEthernet1/0/6
dhcp-snooping trust
mac-forced-forwarding network-port
#
l 配置Switch C
#
stp enable
#
客户端与配置了MFF功能的设备之间是隔离的,即不能ping通。
网络环境如图1-3所示:
网络中Switch A和Switch B作为接入交换机连接Host A、Host B和Host C,Switch C作为汇聚交换机连接网关,Host A、Host B和Host C上配置静态IP地址,所有设备在同一VLAN内。为了方便网络监管,网络管理员希望实现客户端主机间的二层隔离和三层互通,并且主机间的流量都能够通过网关进行转发。
l Host A、Host B和Host C上配置静态IP地址,可以在Switch A和Switch B上配置手动方式MFF功能。
l 为了减少网络侧和用户侧之间的广播报文数量,MFF可以代答网关对用户的ARP请求,需要配置ARP Snooping功能。
l 为了在配置MFF功能后,主机仍然能够访问服务器,就需要在使能MFF功能的设备的服务器列表中添加此服务器的IP地址,否则,客户端与服务器之间不能进行通信。
产品 |
软件版本 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S3610&S5510系列以太网交换机 |
Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5309 |
(1) 如上图在客户端配置静态IP地址
(2) 配置Gateway
# 配置接口的IP地址。
<Gateway> system-view
[Gateway] interface Vlan-interface 1
[Gateway-Vlan-interface1] ip address 10.1.1.100 24
(3) 配置Switch A
# 使能手工方式MFF功能。
[SwitchA] vlan 1
[SwitchA-vlan-1] mac-forced-forwarding default-gateway 10.1.1.100
# 配置网络中部署的服务器的IP地址为10.1.1.200。
[SwitchA-vlan-1] mac-forced-forwarding server 10.1.1.200
# 使能ARP Snooping功能。
[SwitchA-vlan-1] arp-snooping enable
[SwitchA-vlan-1] quit
# 配置网络端口。
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet 1/0/2] mac-forced-forwarding network-port
(4) 配置Switch B
# 使能手工方式MFF功能。
[SwitchB] vlan 1
[SwitchB-vlan-1] mac-forced-forwarding default-gateway 10.1.1.100
# 配置网络中部署的服务器的IP地址为10.1.1.200。
[SwitchB-vlan-1] mac-forced-forwarding server 10.1.1.200
# 使能ARP Snooping功能。
[SwitchB-vlan-1] arp-snooping enable
[SwitchB-vlan-1] quit
# 配置网络端口。
[SwitchB] interface GigabitEthernet 1/0/6
[SwitchB-GigabitEthernet1/0/6] mac-forced-forwarding network-port
l 配置Gateway
#
vlan 1
#
interface Vlan-interface1
ip address 10.1.1.100 255.255.255.0
#
l 配置Switch A
#
vlan 1
mac-forced-forwarding default-gateway 10.1.1.100
mac-forced-forwarding server 10.1.1.200
arp-snooping enable
#
interface GigabitEthernet1/0/2
mac-forced-forwarding network-port
#
l 配置Switch B
#
vlan 1
mac-forced-forwarding default-gateway 10.1.1.100
mac-forced-forwarding server 10.1.1.200
arp-snooping enable
#
interface GigabitEthernet1/0/6
mac-forced-forwarding network-port
#
客户端与配置了MFF功能的设备之间是隔离的,即不能ping通。
网络环境如图1-4所示:
网络中Switch A和Switch B作为接入交换机连接Host A、Host B和Host C,Switch C作为汇聚交换机连接网关,Host A、Host B和Host C上配置静态IP地址,所有设备在同一VLAN内。为了方便网络监管,网络管理员希望实现客户端主机间的二层隔离和三层互通,并且主机间的流量都能够通过网关进行转发。
l Host A、Host B和Host C上配置静态IP地址,可以在Switch A和Switch B上配置手动方式MFF功能。
l Switch A、Switch B和Switch C彼此相连,为防止造成环路,需要开启STP功能。
l Switch A的端口GigabitEthernet 1/0/3和SwitchB的端口GigabitEthernet1/0/4配置为网络端口。
l 为了减少网络侧和用户侧之间的广播报文数量,MFF可以代答网关对用户的ARP请求,需要配置ARP Snooping功能。
l 为了在配置MFF功能后,主机仍然能够访问服务器,就需要在使能MFF功能的设备的服务器列表中添加此服务器的IP地址,否则,客户端与服务器之间不能进行通信。
表1-4 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S3610&S5510系列以太网交换机 |
Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5309 |
(1) 如上图在客户端配置静态IP地址
(2) 配置Gateway
# 配置接口的IP地址。
<Gateway> system-view
[Gateway] interface Vlan-interface 1
[Gateway-Vlan-interface1] ip address 10.1.1.100 24
(3) 配置Switch A
# 启动STP协议。
[SwitchA] stp enable
# 使能手工方式MFF功能。
[SwitchA] vlan 1
[SwitchA-vlan-1] mac-forced-forwarding default-gateway 10.1.1.100
# 配置网络中部署的服务器的IP地址为10.1.1.200。
[SwitchA-vlan-1] mac-forced-forwarding server 10.1.1.200
# 使能ARP Snooping功能。
[SwitchA-vlan-1] arp-snooping enable
[SwitchA-vlan-1] quit
# 配置网络端口。
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] mac-forced-forwarding network-port
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] mac-forced-forwarding network-port
(4) 配置Switch B
# 启动STP协议。
[SwitchB] stp enable
# 使能手工方式MFF功能。
[SwitchB] vlan 1
[SwitchB-vlan-1] mac-forced-forwarding default-gateway 10.1.1.100
# 配置网络中部署的服务器的IP地址为10.1.1.200。
[SwitchB-vlan-1] mac-forced-forwarding server 10.1.1.200
# 使能ARP Snooping功能。
[SwitchB-vlan-1] arp-snooping enable
[SwitchB-vlan-1] quit
# 配置网络端口。
[SwitchB] interface GigabitEthernet 1/0/4
[SwitchB-GigabitEthernet1/0/4] mac-forced-forwarding network-port
[SwitchB-GigabitEthernet1/0/4] quit
[SwitchB] interface GigabitEthernet 1/0/6
[SwitchB-GigabitEthernet1/0/6] mac-forced-forwarding network-port
(5) 配置Switch C
# 启动STP协议。
<SwitchC> system-view
[SwitchC] stp enable
l 配置Gateway
#
vlan 1
#
interface Vlan-interface1
ip address 10.1.1.100 255.255.255.0
#
l 配置Switch A
#
vlan 1
mac-forced-forwarding default-gateway 10.1.1.100
mac-forced-forwarding server 10.1.1.200
arp-snooping enable
#
stp enable
#
interface GigabitEthernet1/0/2
mac-forced-forwarding network-port
#
interface GigabitEthernet1/0/3
mac-forced-forwarding network-port
#
l 配置Switch B
#
vlan 1
mac-forced-forwarding default-gateway 10.1.1.100
mac-forced-forwarding server 10.1.1.200
arp-snooping enable
#
stp enable
#
interface GigabitEthernet1/0/4
mac-forced-forwarding network-port
#
interface GigabitEthernet1/0/6
mac-forced-forwarding network-port
#
l 配置Switch C
#
stp enable
#
客户端与配置了MFF功能的设备之间是隔离的,即不能ping通。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!