Revisemos la función de MAC-Forced Forwarding (MFF) en switches Huawei Destacado

Última respuesta febr. 18, 2020 16:58:31 74 2 1 0

Hola a todos. Continuamos con el desarrollo del tema de la función MFF en switches Huawei y que se aplica para la seguridad de la rede de datos. Pasemos a la información.

 

Implementación de MFF

La Figura 1 muestra la implementación de MFF en una red Ethernet donde la puerta de enlace realiza una gestión y el registro de la actividad de los usuarios para una red unificada. MFF está habilitado en el nodo de acceso Ethernet o Ethernet Access Node (EAN) para que el tráfico de los usuarios pase a través de la puerta de enlace antes de ser reenviado a otros usuarios en la capa 3. MFF aísla a los usuarios en la capa 2 y ayuda a habilitar el monitoreo del tráfico y las capacidades de contabilidad.

 

MFF utiliza el mecanismo proxy ARP para reducir la cantidad de paquetes de difusión entre la red y los usuarios, lo que permite el aislamiento en la capa 2 y garantiza que los usuarios puedan comunicarse en la capa 3. El mecanismo proxy ARP se describirá en este capítulo.

 

Figura 1 Escenario de aplicación MFF

1


Roles de interfaz

Hay dos tipos de interfaces disponibles en un dispositivo habilitado para MFF: interfaces de usuario e interfaces de red.

 

Una interfaz de usuario se conecta a terminales de usuario y procesa diferentes paquetes de la siguiente manera:

 

Descarta los mensajes de consulta IGMP y permite que pasen otros paquetes de protocolo IGMP y paquetes DHCP.

Envía paquetes ARP a la CPU para su procesamiento.

Procesa los paquetes de unicast cuya dirección de destino es la dirección MAC de la puerta de enlace de la siguiente manera:

 

¨              Si se ha aprendido la dirección MAC de la puerta de enlace, la interfaz de usuario reenvía estos paquetes de unicast y descarta otros paquetes.

¨              Si no se ha aprendido la dirección MAC de la puerta de enlace, la interfaz de usuario descarta todos los paquetes.


Rechaza los paquetes de datos de multicast y broadcast.

 

Una interfaz de red se conecta a dispositivos de red como switches de acceso, switches de agregación o puerta de enlace y procesa diferentes paquetes de la siguiente manera:

 

Permite el paso de paquetes de multicast y DHCP.

Envía paquetes ARP a la CPU para su procesamiento.


Funciones MFF

MFF proporciona las siguientes funciones: obtención de información de puerta de enlace y de usuario, mecanismo proxy ARP, detección de puerta de enlace y detección de estado en línea del usuario.

 

Obtención de la puerta de enlace e información de usuario.

A los usuarios se les pueden asignar direcciones IP estáticas u obtener direcciones IP dinámicamente utilizando DHCP. En consecuencia, un dispositivo habilitado para MFF puede obtener una dirección IP de puerta de enlace configurada manualmente u obtener dinámicamente una dirección IP de puerta de enlace utilizando la función de inspección DHCP.

 

¨              Dirección IP de puerta de enlace configurada manualmente

Si las direcciones IP se asignan manualmente, el dispositivo habilitado para MFF no puede obtener la dirección IP de la puerta de enlace a través de paquetes DHCP; por lo tanto, la dirección IP de la puerta de enlace debe configurarse manualmente en el dispositivo habilitado para MFF. Después de configurar una dirección IP para una puerta de enlace estática, el dispositivo habilitado para MFF captura los paquetes de solicitud de ARP en el lado del usuario para activar o actualizar las entradas de MFF que llevan información del usuario. Si el dispositivo habilitado para MFF recibe un paquete de solicitud ARP sin conocer la dirección MAC de la puerta de enlace, el dispositivo habilitado para MFF no reenvía este paquete de solicitud ARP. En cambio, el dispositivo habilitado para MFF envía un paquete de solicitud ARP con las direcciones IP y MAC del usuario como fuente de información a la puerta de enlace, y aprende la dirección MAC de la puerta de enlace del paquete de respuesta ARP devuelto por la puerta de enlace.


¨              Dirección IP de puerta de enlace obtenida dinámicamente con la función de inspección DHCP

Si las direcciones IP se asignan dinámicamente a través de DHCP, el dispositivo habilitado para MFF obtiene las direcciones IP y MAC del usuario de la tabla de indagación DHCP y analiza el campo de la opción 121 o la opción 3 en los paquetes ACK de DHCP enviados por la interfaz de red para obtener la puerta de enlace Dirección IP. El dispositivo habilitado para MFF luego envía un paquete de solicitud ARP con las direcciones IP y MAC del usuario como fuente de información a la puerta de enlace, y aprende la dirección MAC de la puerta de enlace del paquete de respuesta ARP devuelto por la puerta de enlace.

Si un host está autorizado para acceder a múltiples puertas de enlace, el dispositivo habilitado para MFF utiliza la dirección MAC de la primera puerta de enlace para responder a una solicitud ARP cuya dirección de destino es una dirección que no es de la puerta de enlace recibida del host. Después de recibir una solicitud ARP cuya dirección de destino es una dirección de puerta de enlace, el dispositivo habilitado para MFF responde con la dirección MAC de la puerta de enlace.


Proxy ARP

El dispositivo habilitado para MFF captura los paquetes de solicitud ARP de los usuarios y envía un paquete de respuesta ARP con la dirección MAC de la puerta de enlace como la dirección MAC de origen. Este proceso garantiza que todos los dispositivos de usuario asignen la dirección MAC de la puerta de enlace a la dirección IP de la puerta de enlace en sus tablas ARP para que todos los paquetes de los dispositivos de usuario estén destinados a la puerta de enlace. La puerta de enlace puede monitorear el tráfico y realizar la contabilidad, y se mejora la seguridad de la red. Al recibir un paquete de solicitud ARP enviado por una puerta de enlace para solicitar una dirección MAC de usuario, el dispositivo habilitado para MFF responde con la dirección MAC.

Cuando un dispositivo sin puerta de enlace del lado de la red (como el servidor DHCP y el servidor de multidifusión) solicita los paquetes ARP de los dispositivos del usuario, el dispositivo habilitado para MFF responde con las direcciones MAC del usuario de manera predeterminada. Los paquetes enviados desde el dispositivo que no es de puerta de enlace a los dispositivos de usuario no pasan la puerta de enlace. Si el dispositivo habilitado para MFF está configurado para transmitir de manera transparente los paquetes de solicitud ARP desde la puerta de enlace, el dispositivo habilitado para MFF responde con la dirección MAC de la puerta de enlace. Luego, los paquetes enviados desde el dispositivo que no es de puerta de enlace a los dispositivos de usuario se reenvían a través de la puerta de enlace. La función de transmisión transparente del paquete de solicitud ARP se describirá en la detección de estado en línea del usuario o  User online status detection.


Detección de puerta de enlace

Para detectar el cambio de la dirección MAC de la puerta de enlace a tiempo, MFF admite la detección de dirección de puerta de enlace temporizada. Después de habilitar la función de detección (habilitada de manera predeterminada), el dispositivo habilitado para MFF escanea la información de puerta de enlace registrada cada 30 segundos. Para cada puerta de enlace registrada, el dispositivo habilitado para MFF utiliza información sobre cualquier usuario para construir un paquete de solicitud ARP y lo envía a la interfaz de red.

El dispositivo habilitado para MFF luego aprende la dirección MAC de la puerta de enlace del paquete de respuesta ARP. Si la dirección MAC de la puerta de enlace ha cambiado, el dispositivo habilitado para MFF actualiza inmediatamente la información de la puerta de enlace y transmite paquetes ARP gratuitos a los dispositivos de los usuarios, para que los dispositivos de los usuarios puedan actualizar la dirección de la puerta de enlace.

   

3


Detección de estado en línea del usuario

Si la puerta de enlace se utiliza para realizar la contabilidad de acuerdo con el tiempo que los usuarios están en línea, la puerta de enlace debe poder registrar con precisión estas duraciones. Por defecto, un dispositivo habilitado para MFF envía paquetes de respuesta ARP en respuesta a los paquetes de solicitud ARP enviados desde la puerta de enlace.

 

Como resultado, la puerta de enlace considera a los usuarios en línea, incluso si se han desconectado. Para resolver este problema, configure el dispositivo habilitado para MFF para transmitir de manera transparente los paquetes de solicitud ARP enviados desde la puerta de enlace al usuario. Entonces, el dispositivo habilitado para MFF no responde a los paquetes ARP. Si la puerta de enlace no recibe el paquete de respuesta ARP de un usuario, la puerta de enlace considera que el usuario se ha desconectado.

 

Saludos.

 

FIN

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei

  • x
  • convención:

user_153387
Publicado 2020-2-14 12:56:52 Útil(1) Útil(1)
Gracias por compartir
  • x
  • convención:

Hello%20friends%2C%20I%20am%20a%20Telecommunications%20and%20electronics%20engineer%20and%20I%20just%20graduated%20as%20a%20master%20in%20telecommunications%20systems.%20I%20work%20in%20the%20telecommunications%20company%20of%20Cuba%2C%20ETECSA.%20I%20am%2035%20years%20old%20and%20I%20attend%20the%20transport%20network%20in%20my%20province%2C%20which%20is%20mainly%20Huawei.
LUISHR
Publicado 2020-2-18 16:58:31 Útil(1) Útil(1)
GRACIAS POR EL APORTE
  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión