SANGFOR_ACSG_ALL_跨3层mac绑定指导专题.pdfVIP

AC/SG 跨3 层MAC 绑定指 导专题 深信服电子科技有限公司 2012 年 11 月30 日 深信服科技 提升带宽价值 AC/SG 跨3 层MAC 绑定指导专题 1 第1 章 需求场景以及原理 2 1.1.跨3 层MAC 绑定场景简介 2 1.2.跨3 层绑定MAC 原理 3 第2 章 跨3 层绑定配置步骤 3 2.1 跨三层MAC 地址绑定的配置步骤 3 步骤一：配置三层交换机的SNMP 选项 4 步骤二：配置AC 设备的SNMP 项 6 步骤三：对内网用户认证启用mac 地址绑定 9 2.3 跨三层MAC 地址绑定的特殊场景 13 2.4 验证方法 14 第3 章 注意事项 15 第1 章 需求场景以及原理 1.1.跨3 层mac 绑定场景简介 客户需要严格管理内网用户的接入，限制不合法的mac 地址用户接入，或者为了将来查询以锁定某个 用户，常常有绑定mac 地址的需求，AC 在没有跨过3 层交换机的2 层环境，如网桥或网关模式部署，AC 都是可以直接获取到内网PC 的MAC 地址。为了支持跨三层环境下，对用户mac 地址的绑定识别。AC 从 版本 1.96 开始支持跨 3 层mac 绑定功能，由于在跨三层交换机的环境下，数据经过三层交换机后源mac 地址都会转变成三层交换机的mac ，这样会导致AC 设备无法识别内网电脑的真实mac 地址，从而导致启 用绑定mac 后的认证失败。针对这个情况，通过AC 设备需要通过SNMP 协议直接到三层交换机上定期获 取用户端的真实mac 来解决这个问题，下文将详细介绍如何配置使用这个功能。 深信服科技 提升带宽价值 1.2.跨3 层绑定mac 原理 跨3 层交换机的网络环境下（如下图），依靠snmp 协议来实现的。过程如下： AC 设备作为snmp 客户端，会定期向三层交换机的udp 161 端口发送获取其MAC 地址表（arp 表）的 请求。 三层交换机作为snmp 服务器端，当收到来自AC 的请求后，会将自己的MAC 地址表（arp 表）回复 给AC 设备。 设备会将由三层交换机上获得的MAC 地址表，把第一次获取到的mac 进行认证绑定，后续不断获取 到的mac 地址与此作比较，然后再考虑其单向和双向绑定情况，以判定是否认证通过。 图1-跨3 层mac 绑定原理图 第2 章 跨3 层绑定配置步骤 2.1 跨三层mac 地址绑定的配置步骤 下文将以内网中只有一台三层交换机的情况为例，介绍在有单台三层交换机的环境下（如下图），内网 用户mac 地址绑定的配置方法。 深信服科技 提升带宽价值 配置思路： 步骤一：配置三层交换机的SNMP 选项。 步骤二：配置AC 设备的SNMP 项。 步骤三：对内网用户认证启用mac 地址绑定。 步骤一：配置三层交换机的SNMP选项 不同的用户使用的三层交换机不同，以下列出的是华为跟思科的常见三层交换机的SNMP 选项的配置 方法： 1、华为交换机snmp 配置命令： system_view snmp-agent community read public ； 其中public 为三层交换机的Community snmp-agent sys-info version all ； 其中all 表示所有版本 snmp trap enable snmp-agent target-host trap address udp-domain 54 params securityname public v2c 3