图 6-1 MFF 方案的应用场景
Gateway
6 MFF 配置
EAN Switch A
EAN Switch B
EAN Switch C
Server
Server
Server
Server Flow through Gateway
Flow not through Gateway
接口角色
在部署MFF的设备（后续简称MFF设备）上存在两种接口角色：用户接口和网络接 口。
ቤተ መጻሕፍቲ ባይዱ
6 MFF 配置
MFF通过ARP代答机制，截获用户发送的ARP请求报文，回复包含网关MAC地址的 ARP应答报文。设备通过这种方式将用户流量强制引向网关，达到二层隔离和三层互 通的作用。
目的
在以太网中，由于用户之间的业务不同，需要对用户之间进行二层隔离。在不同业务 的用户之间有时又需要进行通信，所以需要实现用户之间的三层互通。在传统的以太 网组网方案中，为了实现不同用户之间的二层隔离和三层互通，通常采用在设备上划 分VLAN的方法。但是存在以下几种不足：
为此MFF在处理用户对应用服务器的访问时，在MFF设备中指定应用服务器的IP 地址，设置用户可以访问的应用服务器列表。MFF设备捕获从客户端主机发出的 ARP请求，并以应用服务器的MAC地址作为源MAC地址应答ARP。对于应用服务 器的ARP请求，MFF设备将会回应它所请求的用户MAC地址。这样实现用户与应 用服务器之间的二层互通，流量不需要经过网关就可转发至服务器。
– 手动配置网关IP地址
如果用户的IP地址是静态配置的，MFF设备则无法通过DHCP报文来获取网关 IP地址，因此需要在MFF设备上手动配置该IP。配置静态网关（即静态用户 的网关）的IP地址后，MFF设备通过捕获用户侧在线用户的ARP请求报文， 进而触发生成或者更新包含用户信息的MFF表项。如果在未学习到网关MAC 地址的情况下收到用户的ARP请求，MFF设备将不会转发该ARP请求，而以 用户的IP地址和MAC地址为源信息构造ARP请求报文发给网关，并从网关回 应的ARP应答报文中学习网关MAC地址。
用户接口是指连接终端用户的接口。
用户接口对于不同报文的处理方式如下：
l 丢弃IGMP Query报文，允许其他IGMP协议报文；允许DHCP报文通过。 l ARP报文上送CPU进行处理。 l 若已经学习到网关MAC地址，则仅允许目的MAC地址为网关MAC地址的单播报
文通过，其他报文将被丢弃；若没有学习到网关MAC地址，目的MAC地址作为网 关MAC地址的单播报文也将被丢弃。 l 组播数据报文和广播数据报文都不允许通过。
l 当彼此间需要二层隔离的用户较多时，这种方式会占用大量的VLAN资源；
l 为实现用户之间三层互通，需要为每个VLAN规划不同的IP网段，并配置VLANIF 接口的IP地址，因此划分过多的VLAN会降低IP地址的分配效率。
而MFF作为实现同一广播域内的用户之间二层隔离和三层互通的一种解决方案，既可 以充分利用以太网的广播域优势，又没有IP地址浪费和规模限制。MFF强制用户将所 有流量（包括同一子网内的流量）发送到网关，使网关可以监控数据流量，防止用户 之间的恶意攻击，能更好的保障网络部署的安全性。
介绍MFF的定义、由来和作用。
定义
MFF（MAC-Forced Forwarding）是实现同一广播域内的用户之间二层隔离和三层互通 的一种解决方案。
文档版本 06 (2017-09-12)
华为专有和保密信息
165
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-安全
User User A
User B
User
然而在数据中心的服务器虚拟化场景下，处于同一个物理服务器内的多个VM （Virtual Machine），可能划分到同一个VLAN中并且需要二层隔离。此时由于多 个VM共享同一个接入链路，因此多个VM对于MFF设备来说就是多个用户通过同 一个用户接口接入。由于VM间很多情况下是完全业务隔离的，此时MFF设备必须 对ARP请求进行代答，否则VM间将无法三层互通。
文档版本 06 (2017-09-12)
华为专有和保密信息
169
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-安全
图 6-3 用户共享接入链路场景 Gateway
6 MFF 配置
EAN Switch A
EAN Switch B
EAN Switch C
l 用户隔离端口
在如图6-3所示的MFF组网中，UserA和UserB通过SwitchB的同一接口接入，当两 个用户间需要通信时，UserA请求UserB的ARP请求报文会广播到SwitchB上，同时 UserB也会收到该请求报文。这时如果SwitchB按照MFF的ARP代答机制将网关的 MAC地址应答给UserA的话，UserA会收到两份ARP应答报文，并且两份报文是冲 突的，导致UserA学习到的ARP表项不可预知。因此部署了MFF特性的设备会对用 户发送的ARP请求进行接口一致性检查，如果发现请求和被请求的用户来自相同 的接口，就会对ARP请求报文进行丢弃。
– DHCP Snooping动态定制网关
如果用户的IP地址是通过DHCP协议动态获取的，MFF设备将从DHCP Snooping表中获取用户的IP地址和MAC地址信息，并解析来自网络端口的 DHCP ACK报文中的OPTION121或OPTION3字段，从中获取网关IP。之后， MFF设备再以用户的IP地址和MAC地址为源信息构造ARP请求报文发给网 关，并从网关回应的ARP应答报文中学习网关MAC地址。
说明
若VLAN中没有记录任何用户，那么MFF设备将不会向网关发送ARP请求报文，直到有一 个用户上线为止。
l 应用服务器访问
如图6-2所示，在网络中除了网关外可能还部署了应用服务器，比如DHCP Server、组播服务器、其他业务服务器等。如果不在MFF设备中指定应用服务器的 IP地址，用户如果访问应用服务器，流量会先被转发至网关，然后再被转发至应 用服务器，这样就会增加上行流量，消耗带宽，占用网关转发资源。
MFF环境下用户的二层隔离和三层互通是通过ARP代答机制实现的，这种代答机制在 一定程度上减少了网络侧和用户侧之间的广播报文数量。关于ARP代答机制，具体请 参见实现功能中的介绍。
文档版本 06 (2017-09-12)
华为专有和保密信息
166
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-安全
6.4 配置注意事项 介绍配置MFF的注意事项。
6.5 配置MFF 配置MFF可以实现同一广播域内各用户间的二层隔离和三层互通。
6.6 配置举例 介绍MFF特性在具体组网中的应用。
6.7 常见配置错误 介绍MFF特性常见配置错误及处理思路。
6.8 参考信息 介绍MFF的参考标准和协议。
6.1 MFF 简介
在上述情况下，MFF特性支持用户隔离端口。配置了用户隔离端口后，将不再对 同一接口发来的ARP请求报文进行接口一致性检查，而是直接进行ARP代答。
l MFF安全
在MFF组网中可能存在ARP Snooping学习的动态用户，通过伪造实际不存在用户 的ARP请求报文，让设备学习到一些错误的用户信息，占用设备资源，从而影响 正常用户的学习以及其他业务。
网络接口是指连接其他网络设备如接入交换机、汇聚交换机或者网关的接口。
网络接口对于不同的报文处理如下：
l 允许组播报文和DHCP报文通过。 l 对于ARP报文则上送CPU进行处理。
实现功能
MFF解决方案主要包括以下几个方面的内容：获取网关和用户信息、ARP代答、网关 探测、应用服务器访问、用户在线探测、用户隔离端口和MFF安全。
6.2 原理描述
介绍MFF的实现原理。
6.2.1 MFF 基本原理
工作机制
如图6-1所示为以太接入网MFF方案的应用场景，这些应用场景中往往需要网关统一管 理和计费客户端的数据流量。在EAN（Ethernet Access Nodes）上部署MFF，可以使客 户端的数据流量首先经过网关再通过三层转发至其它用户，实现了二层流量的隔离， 同时达到监控和计费的目的。
对于网关请求用户的ARP报文，MFF设备则会以用户的MAC地址进行代答。
l 网关探测
为了及时感知网关MAC地址的变化，MFF支持网关定时探测功能。当网关探测功 能开启后，MFF设备每隔30秒会扫描已记录的网关信息，并使用某一个用户的信 息构造ARP请求报文发向网络端，再从网关的ARP应答中获取网关的MAC地址。 如果MAC地址发生变化，MFF设备将立即更新网关信息，同时广播免费ARP报文 到用户端，用于及时刷新用户的网关地址映射关系。
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-安全
6 MFF 配置
6 MFF 配置
关于本章
MFF配置介绍MFF的基础知识、配置方法、配置举例和常见配置错误。
6.1 MFF简介 介绍MFF的定义、由来和作用。
6.2 原理描述 介绍MFF的实现原理。
6.3 应用场景 介绍MFF的应用场景。
当MFF设备学习到多个网关时，默认采用第一个网关为用户代答，因此只会 向第一个网关发送ARP请求。
l ARP代答
MFF设备捕获用户发出的ARP请求报文，并以网关的MAC地址作为源MAC构造 ARP应答报文发送给用户，使用户的ARP表记录的IP地址都与网关的MAC对应， 由此强制用户发出的所有数据报文在二层转发中都以网关为目的地，从而使数据 流量监控、计费得以实施，提高网络的安全性。