深信服AC/SG跨三层MAC绑定配置指南

"深信服AC/SG跨3层MAC绑定技术指南" 本文主要介绍了深信服科技的AC/SG设备在跨三层网络环境中实现MAC地址绑定的功能，以强化内部网络用户接入管理，防止非法MAC地址接入，并提供了一种追踪用户的方法。此功能自AC版本1.96开始支持。 ### 第1章 需求场景及原理 1.1 跨3层MAC绑定场景简介 在传统2层网络环境中，AC设备可以轻松获取并绑定内部PC的MAC地址。然而，在跨三层交换机的环境中，由于数据包在经过三层交换机时，源MAC地址会被替换为交换机的MAC，使得AC无法识别真实MAC，从而影响认证。为了解决这个问题，深信服AC设备利用SNMP协议，直接与三层交换机通信，周期性获取用户端的真实MAC地址，以实现绑定和认证。 1.2 跨3层绑定MAC原理 该功能基于SNMP协议运行。AC设备作为SNMP客户端，定期向三层交换机（作为SNMP服务器）的UDP 161端口发送请求，获取交换机的ARP表（MAC地址表）。三层交换机接收到请求后，回应其ARP表给AC设备。AC设备首次获取的MAC地址用于绑定，之后持续对比获取的MAC地址，以判断认证状态。 ### 第2章 跨3层绑定配置步骤 2.1 跨三层MAC地址绑定配置 配置跨三层MAC绑定涉及以下步骤： **步骤一：配置三层交换机的SNMP选项** - 设置交换机为SNMP服务器，开放UDP 161端口，允许AC设备访问。 - 配置交换机的SNMP团体名和访问权限，以便AC设备能够读取ARP表。 **步骤二：配置AC设备的SNMP项** - 在AC设备上开启SNMP服务，设置与三层交换机相同的SNMP团体名。 - 配置AC设备的SNMP访问参数，包括IP地址、端口和访问模式。 **步骤三：对内网用户认证启用MAC地址绑定** - 在AC设备的管理界面中，启用MAC地址绑定功能。 - 配置MAC地址绑定策略，如单向绑定、双向绑定等。 - 输入需要绑定的MAC地址或导入MAC地址列表。 **步骤二十三：跨三层MAC地址绑定的特殊场景** 在某些特定场景下，可能需要调整绑定策略或处理异常情况，如DHCP动态分配IP地址的情况。 **步骤二十四：验证方法** - 访问网络的设备应按照预设的MAC地址绑定规则进行认证。 - 使用AC设备的监控工具或日志功能，检查MAC地址绑定的执行情况和认证状态。 ### 第3章 注意事项 在实施跨三层MAC绑定时，需要注意以下几点： - 保证AC设备与三层交换机之间的网络连通性。 - 调整SNMP轮询间隔以平衡安全性和性能。 - 监控网络流量，确保SNMP通信不会显著增加网络负担。 - 对于DHCP环境，可能需要配置DHCP Snooping以配合MAC绑定。 深信服的跨三层MAC绑定功能提供了在网络层次更复杂的情况下，有效管理和控制内部网络用户接入的能力，增强了网络的安全性和可管理性。正确配置和使用此功能，有助于企业或组织保护网络资源，防止未授权访问。