下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.48
{{sendMatomoQuery("下一代防火墙AF","跨三层IP/MAC识别")}}

跨三层IP/MAC识别

更新时间:2022-06-17

内网用户采用绑定MAC或者是限定MAC的认证方式,并且内网是跨三层的环境下,需要启用[跨三层MAC识别]的功能,用于获取内网用户的MAC地址。使用此功能的前提是内网交换机支持SNMP功能。

原理:AF设备会定期发SNMP request到三层交换机请求交换机的MAC表,并保存在设备内存中。此时如果三层交换机其它网段的计算机经过设备上网时,如一台PC 192.168.1.2(和设备LAN口不在同一网段)经过设备上网,该PC数据包经过设备时,设备校验此数据包的MAC是三层的MAC,则对此MAC不做处理,而根据192.168.1.2这个IP去内存中查找其真实的MAC地址,实现对用户真正MAC的验证。

配置步骤

  1. 在三层交换机上开启SNMP功能。

  1. 点击进入[用户认证/认证选项/跨三层MAC识别]进行设置,在设备接口勾选[启用SNMP设置],启用SNMP功能。

  1. 设置[访问SNMP服务器超时时间设置]和[访问SNMP服务器时间间隔],一般保持默认设置。

  2. 在[SNMP服务器列表]添加服务器,点击<新增服务器>,会弹出[新增SNMP服务器]的编辑窗口,输入SNMP的IP地址,再点击<搜索服务器>,勾选下面的搜索到的服务器,点击<添加>即可。如下图所示。

  1. 设置认证策略,根据需要使用MAC验证的用户的IP或MAC设置认证策略,点击[用户认证/认证策略/新增认证策略]进行配置。

  2. 前面五步配置好后,三层交换机下的计算机就可以直接以认证新用户的方式通过设备认证上网了。

填入服务器的IP搜索SNMP服务器时,要求服务器必须开启SNMP功能,且COMMUNITY设置为public,否则将搜索服务器失败,需手动设置SNMP服务器信息。

其他认证选项

[其他认证选项]用于配置跟认证相关的一些选项,配置页面如下图所示。

  1. 自动注销指定时间内无流量的已认证用户:用来设置一个超时时间,用户超过此超时时间没有流量则自动注销该用户

  1. 采用SSL加密方式提交用户名和密码:密码认证页面默认是HTTP页面,通过这个页面提交用户名是明文的方式,如果客户要求页面采用SSL加密的方式,则需要勾选此项。

  2. 用户未通过认证前,允许访问DNS服务:用于允许在用户通过认证前访问DNS服务。

  3. 未通过认证用户可以访问基本服务(根组权限,HTTP除外):用于允许用户在通过认证前能使用除HTTP和HTTPS服务外的根组权限。

  4. mac地址发生变动时,需要重新认证:原本认证通过的用户,MAC地址变化了会要求重新认证。比如一个IP为192.168.1.1的用户,认证方式为用户名和密码认证,当这个用户下线后,由于有一段时间不会注销该用户,这时另一个用户把IP改成192.168.1.1,这样MAC地址就发生了变化,需要重新认证方可上网。

  5. 冻结认证失败次数超过最大值的用户:用来设置超过认证失败次数,则冻结该用户的时间。

  6. 登录页面需要安装根证书后,才允许用户登录:解密功能通过此选项安装SSL证书。