C300 V1.2.0开局指导书-南京廖华答案网

C300 V1.2.0开局指导书下载本文

图2-1 MFF实现原理

Switch A和Switch B作为以太网接入节点（Ethernet Access Nodes，EAN），提供了客户端主机与汇聚节点（Switch C）之间的连接。在以太网接入节点上配置MFF功能，可以使客户端的数据报文交互全部通过网关转发，实现了客户端之间的三层互通，又保证了二层数据的隔离。

Host A看到的Host B的MAC也是gateway的，这样保证即使Host A和Host B是同一网段，同一Vlan，他们的交换也必须经过gateway，从而实现二层隔离。

1）配置

用户为静态IP地址用户时，需要的配置如下：配置单tag的service-port（双tag的目前不支持），并配置上联口和ONU上的相关VLAN，使业务能通。

开启mff开关。配置mff网关。

用户为dhcp用户时，需要的配置如下：前三项同上，另外还需要配置：

在全局和service-port上开启dhcp snooping功能。

注意：不能配置对应VLAN的三层接口。不然该功能无效了。 2）命令

ZXAN(config)#Ip-service mac-forced-forwarding {enable | disable} 配置mac地址强制转发功能开关状态。

ZXAN(config)# [no] ip-service mac-forced-forwarding vlan gateway [mac-address]

配置启用某个vlan下的mac-forced-forwarding 网关IP\\MAC。目前系统支持配置最多八个vlan的MFF网关数据。

显示mac-forced-forwarding 功能使用的arp映射表信息。 ZXAN# show ip-service mac-forced-forwarding 显示MAC forced forwarding 全局开关状态。

ZXAN#show ip-service mac-forced-forwarding gateway 显示MAC forced forwarding 各vlan下网关信息。

1.43 MAC防漂功能

功能介绍

MAC地址漂移经常出现在存在MAC地址欺骗或者系统（特别是用户侧）成环等情况下，防止MA地址的漂移，可以一定程度上保证系统的稳定运行。

系统实现

系统实现属于硬件防漂，不能查看防漂记录。配置

C300V1.1系统的MAC地址防漂移涉及到的命令有：

1、 security mac-anti-spoofing enable/ disable——MAC地址防漂移总开关

2、 security mac-anti-spoofing uplink-protect enable/ disable——上联口优先开关 3、 security uplink-protected-mac——网关保护地址说明

1）所有防漂移功能都要在MAC地址防漂移总开关开启后才能生效。

2）当未开启总开关时，MAC地址可以在用户侧，上联侧端口间来回漂移。 3）当开启总开关，未开启其它开关时，MAC地址在一个端口学习到后，要等老化以后，才能在另一个端口学习到。

4）当开启总开关，未配置网关保护地址，只开启上联口优先时，MAC地址在用户侧学习到后，如果网络侧也有相同的地址，不用等用户侧地址老化，就可以迁移到网络侧。但是网络侧学习到地址以后，如果用户侧有相同的地址，需要等网络侧地址老化以后，才能迁移到用户侧。

5）当开启总开关，配置网关保护地址后，不用开启上联口优先开关，对于配置的网关地址，处理和上联口优先开关开启时一样，对于没配置成网关地址的地址，处理和普通地址一样。如果开启了上联口优先开关，所有地址的处理都按照只开启了上联口优先开关一样处理。

6）两开关都使能情况下，信任上联口，认为上联口之间不会存在成环现象，只要上联口来MAC哪怕冲突的，都会漂移过来，所以用户口可以漂移到上联口，上联口之间可以漂移；上联口优先DIS情况下，所有端口都不可信任，都可能成环，所以所有端口上都不允许漂移。（T7版本改动）

1.44 ARP防欺骗

Arp anti-spoofing涉及到两个方面，一是对用户侧进行arp 防欺骗，一是对网络测进行arp防欺骗。

在配置方面，可以对特定vlan指定arp anti-spoofing为其中一个方向，也可以两个方向均指定。

ZXAN(config)#show ip-service arp-anti-spoofing Arp Anti-Spoofing status:Enabled. vlan direction ----------------------

666 all（C300V1.1T7只能实现上行方向的防欺骗）

用户侧的arp防欺骗的逻辑是：收到用户侧来的arp包后，查找mff的arp表中是否有dhcp来源的该用户ip对应的arp条目，有则进行mac地址判断，若与arp表中一致，则该arp包继续得以处理，如果不一致，则丢弃该报文。如果查找不到dhcp来源的arp条目，则

查找固定用户来源的arp条目，进行相同的判断处理。

用户为静态IP地址用户时，需要的配置如下：配置单tag的service-port（双tag的目前不支持），并配置上联口和ONU上的相关VLAN，使业务能通。

开启mff开关。配置mff网关。

用户为dhcp用户时，需要的配置如下：前三项同上，另外还需要配置：

在全局和service-port上开启dhcp snooping功能。

开启全局DHCP-OPTION82，开启ONU接口下的DHCP-OPTION82。（若不开启，则show ip-ser arp中，DHCP用户也显示为动态）

网络侧的arp防欺骗的逻辑是：收到网络侧来的arp包后，先判断该包的源ip是否是配置的mff的网关ip，不是则丢弃。是，则判断mff配置的网关MAC类型是否为静态的。当为静态配置网关mac时，进行mac的判断，一致则继续处理，不一致则丢弃。当为动态配置网关mac时，则仅做更新mac处理，不做丢弃判断。

可以使用etheekpeek发包，进行arp防欺骗测试，也可以使用TC创建HOST方式测试。该功能只对 ARP报文进行提包处理。

1.45 IP source-guard功能以及固定/动态DHCP用户的IP绑定

IP源保护，在ONU接口使能了IP SOURCEGUARD的VLAN（service-port），只允许DHCP用户已经配置了静态IP的用户的IP报文才能通过。

如果不配置任何静态IP，则只允许IP地址为全０的报文通过。使能IP SOURCEGUARD功能：全局模式下：

ZXAN(config)#ip-service ip-source-guard enable

进入onu接口模式：

ZXAN(config)#interface gpon-onu_1/5/5:1

onu接口模式下:

首先创建service-port

ZXAN(config-if)#service-port 1 user-vlan 100 cvlan 200 ZXAN(config-if)#ip-service ip-source-guard enable sport 1 ZXAN(config)#show ip-service ip-source-guard global ip-source-guard status :enable

ZXAN(config)#show ip-service ip-source-guard GPON-onu_1/5/5:1 Port Sport ip-source-guard status gpon-onu_1/5/5:1 1 enable

此时，非DHCP用户，只能通过IP地址为全０的报文。执行固定IP用户配置： onu接口模式下：

ZXAN(config-if)#ip-service ip-fixed-user 2.2.2.3 mac-address 0000.0000.0001 vlan 200 sport 1

ZXAN(config)#show ip-service user interface GPON-onu_1/5/5:1

Port Sport IP-addr MAC-addr Vlan Source

gpon-onu_1/5/5:1 1 2.2.2.3 0000.0000.0001 200 fixed-user 只有IP和MAC都匹配的报文才能通过，其他都丢弃。

执行dhcp snooping配置：

在全局下ip dhcp snooping enable ip dhcp snooping vlan 200

ip dhcp snooping trust gei_1/21/1 dhcp-option82 enable

用户侧端口下interface GPON-onu_1/5/5:1 ip dhcp snooping enable vport 1 dhcp-option82 enable

使用dhcpclient从用户侧发起1个请求获取ip地址。

1.46 典型功能测试

组网：两个上联口，两个用户口，其中一个上联口和一个用户口模拟正常的对发单播流量，另一个上联口模拟上联口上的非正常流量，另一个用户口，模拟用户口的非正常流量。

步骤：

不开启防漂移功能配置防漂功能取消

用户侧先发送源mac1的报文，网络侧然后发送源mac1的报文，发现源mac1可能在网络侧或者用户侧学习到，业务采用洪范方式通。

网络侧先发送源mac1的报文，用户侧然后发送源mac1的报文，发现源mac1可能在网络侧或者用户侧学习到，业务采用洪范方式通。

上联口优先模式

配置防漂功能使能以及上联口保护方式

用户侧先发送源mac1的报文，网络侧然后发送源mac1的报文，发现源mac1只是在网络侧学习到，下行业务通，而用户侧没有学习到mac1，并且上行业务不通。

网络侧先发送源mac1的报文，用户侧然后发送源mac1的报文，发现源mac1只是在网络侧学习到，下行业务通，而用户侧没有学习到mac1，并且上行业务不通。

上联口网关MAC地址保护模式

配置防漂功能使能以及上联口保护取消方式配置上联口保护的网关mac

用户侧先发送源mac1（网关mac）的报文，网络侧然后发送源mac1（网关mac）的报文，发现源mac1只是在网络侧学习到，下行业务通，而用户侧没有学习到mac1，并且上行业务不通。

网络侧先发送源mac1（网关mac）的报文，用户侧然后发送源mac1（网关mac）的报文，发现源mac1只是在网络侧学习到，下行业务通，而用户侧没有学习到mac1，并且上行业务不通。

用户侧先发送源mac2（非网关mac）的报文，网络侧然后发送源mac2（非网关mac）的报文，发现源mac2可能在网络侧或者用户侧学习到，业务采用洪范方式通。

网络侧先发送源mac2（非网关mac）的报文，然后用户侧发送源mac2（非网关mac）的报文，发现源mac2可能在网络侧或者用户侧学习到，业务采用洪范方式通。

注：网关MAC地址保护数32条。

1.22 光模块参数检测功能

必须用支持光功率检查的光模块，才能测试PON口的发光功率。如果要测试ONU侧的接收功率，ONU上也必须使用支持光功率检查的光模块。检测数据，可以通过网管上的性能统计，或者CLI命令查询。

OLT光模块诊断：

ZXAN(config)#sho pon transceiver info gpon-olt_1/7/4

RxPower : N/A (dbm) TxPower : 4.025 (dbm) Bias-Current : 13.114 (mA) Laser-Rate : 2488 (MBd) Supply-Vol : 3.181 (V) Wavelength : N/A (nm) Temperature : 47.600 (C) Vender-PN : SOGQ4321-PSGA

Vender-Name : SUPERXON MaxDistance: 20 (km) ZXAN(config)#sho pon power olt-rx gpon-onu_1/7/4:1 Rx power: -11.693(dbm) ONU光模块诊断：

ZXAN(config)#sho gpon remote-onu interface pon gpon-onu_1/7/4:1

Interface: pon_0/1 GEM-blocklen: 48 (bytes) Sf-threshold: 5 Sd-threshold: 9

Alarm: enable AlarmDisableInterval: 0 TotalTcontNum: 8

PiggybackDbaRptMode: mode0 only WholeOnuDbaRptMode: support RxOpticalLevel: -11.712(dBm) LowerRxOpticalThreshold: ont internal policy UpperRxOpticalThreshold: ont internal policy

Word文档下载：C300 V1.2.0开局指导书.doc

搜索更多:C300 V1.2.0开局指导书