行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.18
{{sendMatomoQuery("行为管理AC","跨三层取MAC")}}

跨三层取MAC

更新时间:2022-01-18

跨三层取MAC主要功能是AC设备作为SNMP的客户端通过SNMP协议向客户内网三层设备(作为SNMP服务器)获取IP和MAC的对应关系,来实现过三层网络设备后,设备依然正常识别终端用户的MAC地址。跨三层取MAC提供两种方式。

第一种:通过镜像读取内网用户的MAC(推荐)

勾选<抓取ARP包或者DHCP包获取MAC>,将AC任意一个空闲的网口接到交换机,交换机对应的接口启用镜像,将相关数据包镜像到AC,此方法不需要交换机启用SNMP协议。

第二种:配置跨三层取MAC

内网用户绑定MAC地址或者限定了用户的MAC地址范围,并且内网是跨三层的环境下,需要启用<跨三层取MAC>的功能,用于获取内网用户的MAC地址。使用此功能的前提是内网交换机支持SNMP功能,AC通过SNMP协议获取交换机上内网用户真实的MAC地址。

原理:设备上会定期发SNMP Request到三层交换机请求交换机的ARP表,并保存在设备内存中。此时如果三层交换机其它网段的电脑经过设备上网时,如一台PC 192.168.1.2(和设备LAN口不在同一网段)经过设备上网,该PC数据包经过设备时,设备校验此数据包的MAC是三层交换机的MAC,则对此MAC不做处理,而根据192.168.1.2这个IP去内存中查找其真实的MAC地址,实现对用户真实MAC的验证。

操作步骤

  1. 在三层交换机上开启SNMP功能,且需要配置读取权限的团体名。

2.在[接入认证/portal认证/联动对接设置/跨三层取MAC]进行设置,在设备界面勾选<启用跨三层MAC识别>。

3.在[SNMP服务器列表]点击<新增>把需要获取MAC地址的三层交换机信息,配置完成,点击<提交>即可。

  • IP地址:填写交换机IP地址,一般是PC网关设备。

  • IP OID和MAC OID:默认OID是标准的,不需要修改,标准的SNMP协议均支持,可根据不同厂商设备的OID修改。

  • community:只读权限的团体名称即可,与交换机配置一样即可。

  • 超时时间:设置AC获取SNMP信息的超时时间。

  • 获取时间间隔:设置AC多久发一次SNMP请求获取信息。

  • 每次获取的最大个数:设置每次获取的SNMP条目的最大个数。

4.点击<查看服务器信息>,用于查看SNMP服务器即交换机的上的SNMP信息,可测试能否从交换机获取PC的IP和MAC,有返回结果则能正常获取。

5.填写内网交换机的MAC地址,避免这部分MAC被用户绑定。

6.除了上一步手动填写交换机的MAC地址外,设备还可以自动发现三层交换机的MAC地址。

7.点击<查看每MAC统计结果>查看统计的结果。当客户不清楚自己三层交换机地址,如果是三层MAC,当一个MAC对应多个不同的IP地址,AC会统计出十分钟内每个MAC对应的IP,可根据查看MAC统计结果,找到对应一个MAC的记录将MAC添加到排除列表。

8.如果勾选[自动添加排除MAC],设备会根据设置的[IP地址记录数],自动将超过IP记录数的MAC地址添加到MAC地址排除列表中。

9.勾选[自动添加排除MAC功能告警],用于在自动添加MAC后,发送告警邮件给管理员。告警选项在[系统管理/系统配置/告警选项]中设置。

10.在[接入认证/portal认证/认证策略],点击新增一条策略,启用该策略,配置认证范围:填写测试PC所在的网段。支持根据IP地址段、MAC段匹配认证策略。

11.认证方式选择不需要认证,用户名推荐选择以IP地址作为用户名。

12.认证后处理选择自动录入绑定关系,其他设置根据自定义需求设置。

13.点击<提交>,AC和三层交换机的配置已完成。