C300 V1.2.0开局指导书 下载本文

ZXAN(control-panel)#show running-config | begin control-panel 1.117

mff功能

该功能的全称是mac forced forwarding,实现一个arp proxy,用来禁止同一子网的两个用户间直接互通,并把用户的上行流量强制转发到网关,网关转发流量,来实现用户间的三层互通。并且网关能监控用户间的流量,防止恶意攻击。

图2-1 MFF实现原理

Switch A和Switch B作为以太网接入节点(Ethernet Access Nodes,EAN),提供了客户端主机与汇聚节点(Switch C)之间的连接。在以太网接入节点上配置MFF功能,可以使客户端的数据报文交互全部通过网关转发,实现了客户端之间的三层互通,又保证了二层数据的隔离。

Host A看到的Host B的MAC也是gateway的,这样保证即使Host A和Host B是同一网段,同一Vlan,他们的交换也必须经过gateway,从而实现二层隔离。

1) 配置

用户为静态IP地址用户时,需要的配置如下: 配置单tag的service-port(双tag的目前不支持),并配置上联口和ONU上的相关VLAN,使业务能通。

开启mff开关。 配置mff网关。

用户为dhcp用户时,需要的配置如下: 前三项同上,另外还需要配置:

在全局和service-port上开启dhcp snooping功能。

注意:不能配置对应VLAN的三层接口。不然该功能无效了。 2) 命令

ZXAN(config)#Ip-service mac-forced-forwarding {enable | disable} 配置mac地址强制转发功能开关状态。

ZXAN(config)# [no] ip-service mac-forced-forwarding vlan gateway [mac-address]

配置启用某个vlan下的mac-forced-forwarding 网关IP\\MAC。 目前系统支持配置最多八个vlan的MFF网关数据。

在ZXAN# Show ip-service arp [ dhcp | ipoa-dynamic | ipoa-static | dynamic |fixed | ip-addr ] [vlan ]

显示mac-forced-forwarding 功能使用的arp映射表信息。 ZXAN# show ip-service mac-forced-forwarding 显示MAC forced forwarding 全局开关状态。

ZXAN#show ip-service mac-forced-forwarding gateway 显示MAC forced forwarding 各vlan下网关信息。 1.118

MAC防漂功能

功能介绍

MAC地址漂移经常出现在存在MAC地址欺骗或者系统(特别是用户侧)成环等情况下,防止MA地址的漂移,可以一定程度上保证系统的稳定运行。

系统实现

系统实现属于硬件防漂,不能查看防漂记录。 配置

C300V1.2系统的MAC地址防漂移涉及到的命令有:

4、 security mac-anti-spoofing enable/ disable——MAC地址防漂移总开关

5、 security mac-anti-spoofing uplink-protect enable/ disable——上联口优先开关 6、 security uplink-protected-mac——网关保护地址 说明

1) 所有防漂移功能都要在MAC地址防漂移总开关开启后才能生效。

2) 当未开启总开关时,MAC地址可以在用户侧,上联侧端口间来回漂移。 3) 当开启总开关,未开启其它开关时,MAC地址在一个端口学习到后,要等老化以后,才能在另一个端口学习到。

4) 当开启总开关,未配置网关保护地址,只开启上联口优先时,MAC地址在用户侧学习到后,如果网络侧也有相同的地址,不用等用户侧地址老化,就可以迁移到网络侧。但是网络侧学习到地址以后,如果用户侧有相同的地址,需要等网络侧地址老化以后,才能迁移到用户侧。

5) 当开启总开关,配置网关保护地址后,不用开启上联口优先开关,对于配置的网关地址,处理和上联口优先开关开启时一样,对于没配置成网关地址的地址,处理和普通地址一样。如果开启了上联口优先开关,所有地址的处理都按照只开启了上联口优先开关一样处理。

6) 两开关都使能情况下,信任上联口,认为上联口之间不会存在成环现象,只要上联口来MAC哪怕冲突的,都会漂移过来,所以用户口可以漂移到上联口,上联口之间可以漂移;上联口优先DIS情况下,所有端口都不可信任,都可能成环,所以所有端口上都不允许漂移。

典型功能测试

组网:两个上联口,两个用户口,其中一个上联口和一个用户口模拟正常的对发单播流量,另一个上联口模拟上联口上的非正常流量,另一个用户口,模拟用户口的非正常流量。

步骤:

不开启防漂移功能 配置防漂功能取消

用户侧先发送源mac1的报文,网络侧然后发送源mac1的报文,发现源mac1可能在网络侧或者用户侧学习到,业务采用洪范方式通。

网络侧先发送源mac1的报文,用户侧然后发送源mac1的报文,发现源mac1可能在网络侧或者用户侧学习到,业务采用洪范方式通。

上联口优先模式

配置防漂功能使能以及上联口保护方式

用户侧先发送源mac1的报文,网络侧然后发送源mac1的报文,发现源mac1只是在网络侧学习到,下行业务通,而用户侧没有学习到mac1,并且上行业务不通。

网络侧先发送源mac1的报文,用户侧然后发送源mac1的报文,发现源mac1只是在网络侧学习到,下行业务通,而用户侧没有学习到mac1,并且上行业务不通。

上联口网关MAC地址保护模式

配置防漂功能使能以及上联口保护取消方式 配置上联口保护的网关mac

用户侧先发送源mac1(网关mac)的报文,网络侧然后发送源mac1(网关mac)的报文,发现源mac1只是在网络侧学习到,下行业务通,而用户侧没有学习到mac1,并且上行业务不通。

网络侧先发送源mac1(网关mac)的报文,用户侧然后发送源mac1(网关mac)的报文,发现源mac1只是在网络侧学习到,下行业务通,而用户侧没有学习到mac1,并且上行业务不通。

用户侧先发送源mac2(非网关mac)的报文,网络侧然后发送源mac2(非网关mac)的报文,发现源mac2可能在网络侧或者用户侧学习到,业务采用洪范方式通。

网络侧先发送源mac2(非网关mac)的报文,然后用户侧发送源mac2(非网关mac)的报文,发现源mac2可能在网络侧或者用户侧学习到,业务采用洪范方式通。

注:网关MAC地址保护数32条。 1.119

ARP防欺骗

Arp anti-spoofing涉及到两个方面,一是对用户侧进行arp 防欺骗,一是对网络测进行

arp防欺骗。

在配置方面,可以对特定vlan指定arp anti-spoofing为其中一个方向,也可以两个方向均指定。

ZXAN(config)#show ip-service arp-anti-spoofing Arp Anti-Spoofing status:Enabled. vlan direction ---------------------- 666 all 用户侧的arp防欺骗的逻辑是:收到用户侧来的arp包后,查找mff的arp表中是否有dhcp来源的该用户ip对应的arp条目,有则进行mac地址判断,若与arp表中一致,则该arp包继续得以处理,如果不一致,则丢弃该报文。如果查找不到dhcp来源的arp条目,则查找固定用户来源的arp条目,进行相同的判断处理。

用户为静态IP地址用户时,需要的配置如下:

配置单tag的service-port,并配置上联口和ONU上的相关VLAN,使业务能通。 开启mff开关。 配置mff网关。

用户为dhcp用户时,需要的配置如下: 前三项同上,另外还需要配置:

在全局和service-port上开启dhcp snooping功能。

开启全局DHCP-OPTION82,开启ONU接口下的DHCP-OPTION82。(若不开启,则show ip-ser arp中,DHCP用户也显示为动态)

网络侧的arp防欺骗的逻辑是:收到网络侧来的arp包后,先判断该包的源ip是否是配置的mff的网关ip,不是则丢弃。是,则判断mff配置的网关MAC类型是否为静态的。当为静态配置网关mac时,进行mac的判断,一致则继续处理,不一致则丢弃。当为动态配置网关mac时,则仅做更新mac处理,不做丢弃判断。

可以使用etheekpeek发包,进行arp防欺骗测试,也可以使用TC创建HOST方式测试。 该功能只对 ARP报文进行提包处理。 1.120

IP source-guard功能以及固定/动态DHCP用户的IP绑定

IP源保护,在ONU接口使能了IP SOURCEGUARD的VLAN(service-port),只允许DHCP用户已经配置了静态IP的用户的IP报文才能通过。

如果不配置任何静态IP,则只允许IP地址为全0的报文通过。 使能IP SOURCEGUARD功能: 全局模式下:

ZXAN(config)#ip-service ip-source-guard enable 进入onu接口模式:

ZXAN(config)#interface epon-onu_1/5/5:1 onu接口模式下:

首先创建service-port

ZXAN(config-if)#service-port 1 user-vlan 100 cvlan 200 ZXAN(config-if)#ip-service ip-source-guard enable sport 1 ZXAN(config)#show ip-service ip-source-guard global ip-source-guard status :enable

ZXAN(config)#show ip-service ip-source-guard epon-onu_1/5/5:1 Port Sport ip-source-guard status epon-onu_1/5/5:1 1 enable

此时,非DHCP用户,只能通过IP地址为全0的报文。 执行固定IP用户配置: onu接口模式下:

ZXAN(config-if)#ip-service ip-fixed-user 2.2.2.3 mac-address 0000.0000.0001 vlan 200 sport 1

ZXAN(config)#show ip-service user interface EPON-onu_1/5/5:1

Port Sport IP-addr MAC-addr Vlan Source epon-onu_1/5/5:1 1 2.2.2.3 0000.0000.0001 200 fixed-user 只有IP和MAC都匹配的报文才能通过,其他都丢弃。

执行dhcp snooping配置:

在全局下ip dhcp snooping enable ip dhcp snooping vlan 200

ip dhcp snooping trust gei_1/21/1 dhcp-option82 enable

用户侧端口下interface epon-onu_1/5/5:1 ip dhcp snooping enable vport 1 dhcp-option82 enable

使用dhcpclient从用户侧发起1个请求获取ip地址。

1.121 光模块参数检测功能

必须用支持光功率检查的光模块,才能测试PON口的发光功率。如果要测试ONU侧的接收功率,ONU上也必须使用支持光功率检查的光模块。检测数据,可以通过网管上的性能统计,或者CLI命令查询。

OLT光模块诊断:

ZXAN(config)#sho pon transceiver info epon-olt_1/7/4

RxPower : N/A (dbm) TxPower : 4.025 (dbm) Bias-Current : 13.114 (mA) Laser-Rate : 2488 (MBd) Supply-Vol : 3.181 (V) Wavelength : N/A (nm) Temperature : 47.600 (C) Vender-PN : SOGQ4321-PSGA

Vender-Name : SUPERXON MaxDistance: 20 (km) ZXAN(config)#sho pon power olt-rx epon-onu_1/7/4:1 Rx power: -11.693(dbm) ONU光模块诊断:

ZXAN(config)#sho epon remote-onu interface pon epon-onu_1/7/4:1

Interface: pon_0/1 GEM-blocklen: 48 (bytes) Sf-threshold: 5