跨三层取MAC主要功能是AC设备作为SNMP的客户端通过SNMP协议向客户内网三层设备（作为SNMP服务器）获取IP和MAC的对应关系，来实现过三层网络设备后，设备依然正常识别终端用户的MAC地址。跨三层取MAC提供两种方式。

第一种：通过镜像读取内网用户的MAC（推荐）。

勾选<抓取ARP包或者DHCP包获取MAC>，将AC任意一个空闲的网口接到交换机，交换机对应的接口启用镜像，将相关数据包镜像到AC，此方法不需要交换机启用SNMP协议。

第二种：配置跨三层取MAC。

内网用户绑定MAC地址或者限定了用户的MAC地址范围，并且内网是跨三层的环境下，需要启用<跨三层取MAC>的功能，用于获取内网用户的MAC地址。使用此功能的前提是内网交换机支持SNMP功能，AC通过SNMP协议获取交换机上内网用户真实的MAC地址。

原理：设备上会定期发SNMP Request到三层交换机请求交换机的ARP表，并保存在设备内存中。此时如果三层交换机其它网段的电脑经过设备上网时，如一台PC 192.168.1.2（和设备LAN口不在同一网段）经过设备上网，该PC数据包经过设备时，设备校验此数据包的MAC是三层交换机的MAC，则对此MAC不做处理，而根据192.168.1.2这个IP去内存中查找其真实的MAC地址，实现对用户真实MAC的验证。

操作步骤

步骤1.在三层交换机上开启SNMP功能，且需要配置读取权限的团体名。

步骤2.在[接入管理/接入认证/Portal认证/联动对接设置/跨三层取MAC]进行设置，在设备界面勾选<启用跨三层MAC识别>。

步骤3.在[SNMP服务器列表]点击<新增>把需要获取MAC地址的三层交换机信息，配置完成，点击<提交>即可。

• IP地址：填写交换机IP地址，一般是PC网关设备。

• IP OID和MAC OID：默认OID是标准的，不需要修改，标准的SNMP协议均支持，可根据不同厂商设备的OID修改。

• Community：只读权限的团体名称即可，与交换机配置一样即可。

• 超时时间：设置AC获取SNMP信息的超时时间。

• 获取时间间隔：设置AC多久发一次SNMP请求获取信息。

• 每次获取的最大个数：设置每次获取的SNMP条目的最大个数。

步骤4.点击<查看服务器信息>，用于查看SNMP服务器即交换机的上的SNMP信息，可测试能否从交换机获取PC的IP和MAC，有返回结果则能正常获取。

步骤5.填写内网交换机的MAC地址，避免这部分MAC被用户绑定。

步骤6.除了上一步手动填写交换机的MAC地址外，设备还可以自动发现三层交换机的MAC地址。

步骤7.点击<查看每MAC统计结果>查看统计的结果。当客户不清楚自己三层交换机地址，如果是三层MAC，当一个MAC对应多个不同的IP地址，AC会统计出十分钟内每个MAC对应的IP，可根据查看MAC统计结果，找到对应一个MAC的记录将MAC添加到排除列表。

步骤8.如果勾选[自动添加排除MAC]，设备会根据设置的[IP地址记录数]，自动将超过IP记录数的MAC地址添加到MAC地址排除列表中。

步骤9.勾选[自动添加排除MAC功能告警]，用于在自动添加MAC后，发送告警邮件给管理员。告警选项在[系统管理/系统配置/告警选项]中设置。

步骤10.在[接入管理/接入认证/PORTAL认证/认证策略]，点击新增一条策略，启用该策略，配置认证范围：填写测试PC所在的网段。支持根据IP地址段、MAC段匹配认证策略。

步骤11.认证方式选择不需要认证，用户名推荐选择以IP地址作为用户名。

步骤12.认证后处理选择自动录入绑定关系，其他设置根据自定义需求设置。

步骤13.点击<提交>，AC和三层交换机的配置已完成。