深信服AC/SG跨三层MAC绑定配置指南

"该文档是深信服科技提供的关于跨3层MAC绑定的配置指导，旨在帮助用户在复杂的网络环境中实现对内网用户MAC地址的严格管理，限制非法接入并提供查询用户的能力。该功能从AC版本1.96开始支持，通过SNMP协议与三层交换机交互以获取真实MAC地址。" ### 第一部分：需求场景与原理 1.1 跨3层MAC绑定场景简介 在企业网络环境中，为了确保网络安全和用户管理，经常需要实施MAC地址绑定策略。当AC设备（如深信服的接入控制设备）在跨三层交换机的环境中部署时，由于数据包经过三层交换机，源MAC地址会被替换，使得AC无法直接识别内网设备的真实MAC，导致MAC绑定认证失效。 1.2 跨3层绑定MAC原理 跨三层MAC绑定是通过SNMP（简单网络管理协议）实现的。AC设备作为SNMP客户端，周期性地向三层交换机（作为SNMP服务器）的UDP 161端口发送请求，获取交换机的ARP（地址解析协议）表，即MAC地址表。交换机收到请求后回应其MAC地址表，AC设备则基于这些信息进行MAC地址绑定和认证判断。 ### 第二部分：跨3层绑定配置步骤 2.1 跨三层MAC地址绑定配置 配置步骤包括： 1. **步骤一：配置三层交换机的SNMP选项** - 需要在三层交换机上开启SNMP服务，并设置相应的社区字符串，允许AC设备访问其MAC地址表。 2. **步骤二：配置AC设备的SNMP项** - 在AC设备上配置SNMP客户端参数，包括设置SNMP服务器的IP地址、端口号和社区字符串，以便与三层交换机通信。 3. **步骤三：对内网用户认证启用MAC地址绑定** - 在AC设备的用户管理策略中启用MAC地址绑定功能，并指定对应的认证方式，如单向绑定或双向绑定。 2.3 跨三层MAC地址绑定的特殊场景 这可能包括VLAN跨越、多接口接入、动态IP分配等情况，需要根据实际网络结构和需求进行相应调整。 2.4 验证方法 配置完成后，可以通过测试内网用户接入，检查是否能够成功通过MAC地址绑定认证，同时监控AC设备的日志，确认MAC地址获取和认证过程是否正常。 ### 第三部分：注意事项 在实施跨三层MAC绑定时，需要注意以下几点： - 确保三层交换机和AC设备的SNMP配置正确无误。 - 监控网络性能，防止SNMP查询过于频繁影响网络性能。 - 对于动态IP的网络环境，可能需要配合DHCP Snooping或802.1X等技术以获取和绑定动态分配的MAC地址。 - 定期检查和更新绑定策略，以适应网络变化和新设备的接入。 通过以上步骤和注意事项，用户可以在跨三层的网络环境中有效地实现MAC地址绑定，提升网络的安全性和管理效率。