SG12.0R3 通过镜像DHCP服务器跨三层获取MAC
  

tonytongGrba Lv2发表于 2017-11-15 14:11


AC/SG通过DHCP跨三层取MAC


一、测试拓扑
拓扑.jpg

       用户使用H3C 5560作为三层接入汇聚,办公网段网关均在汇聚设备,H3C 7508IRF 作为核心交换机,核心G2/1/0/9口旁挂了一台DHCP服务器,提供内网接入终端的IP分配,核心交换机通过G2/9/0/28口连接前端上网行为管理eth0口进行用户认证及上网,当前认证方式为AD域脚本单点登录;本次测试通过镜像H3C 7508核心交换机G2/1/0/9至G2/9/0/31给上网行为管理eth5口识别DHCP报文获取终端MAC地址。

二、测试内容
       现有客户关注云桌面产品,考虑将公司研发部门人员办公电脑进行管控不允许上网,研发人员上网需通过云桌面,从而实现研发部门的内外网隔离;当前垮三层取MAC通过SNMP,终端MAC获取慢且准确率低,故本次将上网行为管理设备版本升级至12.0R3,通过镜像DHCP服务器流量进行获取MAC测试使用效果,为今后通过MAC管控研发部门的终端打下基础。

三、设备配置
    1.Sangfor SG/AC 上的配置
      (1)开启镜像口 跨三层取MAC
跨三层取MAC功能.jpg
     (2)新增认证策略及用户管理
901365a0bd2798e4d7.png
用户认证与管理-->用户认证-->认证策略-->新增   填写策略名称和需管控的MAC地址
758645a0bd29190e85.png
认证方式为 不需要认证-以MAC地址为用户名
462875a0bd2a5eb63b.png
认证的处理 自动录入到本地用户组 “MAC用户”
865215a0bd434ea8c7.png
用户认证与管理-->用户管理-->组/用户 MAC用户 添加或编辑 MAC用户显示名
注:此处为可选项(添加显示名为了更好的显示出MAC所属的终端用户)
     (3)新增拒绝上网策略
110885a0bd4920d171.png
策略管理-->上网策略-->上网权限策略 新增一条 MAC用户使用的策略
添加应用控制  拒绝所有上网服务
563615a0bd52db730b.png
将该策略应用到 “MAC用户” 用户组

   2.H3C S7508 交换机配置
         #新建镜像组1
         mirroring-group 1 local
         #镜像DHCP服务器接口进出流量
         mirroring-group 1 mirroring-port GigabitEthernet 2/1/0/9 both
         #镜像流量的观察口,即连接上网行为管理eth5口
         mirroring-group 1 monitor-port GigabitEthernet 2/9/0/31

四、验证
67805a0bd5f193abb.png

753375a0bd616f3018.png

828895a0bd61d72c94.png
打开网页会提示策略拒绝,PC端远程Teamviewer和QQ都已经离线

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

AC规划经理94563 Lv3发表于 2017-11-15 14:34
  
又发现了一个跨三层取MAC的新用法。 可以像楼主这样,通过镜像DHCP服务器的包来做取MAC。

我们最开始推荐的做法是,在核心上增加一个trunk口,允许所有vlan, 把这个trunk口连到AC上。 这样可以把所有广播包复制到AC上,包括ARP包和DHCP的包。

楼主这种做法也很好,对DHCP是集中的客户是比较通用的做法。 果然高手在民间
菜菜 Lv4发表于 2017-11-21 11:34
  
好思路!!!
zhangxin Lv9发表于 2017-11-21 14:53
  
这方法厉害了
一个无趣的人 Lv13发表于 2017-11-22 22:12
  
这个方法很不错。学习了!
弓长湿兄 Lv2发表于 2017-11-23 09:21
  
学习了!!!!!!!不错
新手902384 Lv0发表于 2017-11-24 15:43
  
一个非常好的方法,学习了!
土老冒 Lv3发表于 2017-11-24 15:57
  
受教了
nrsheng Lv11发表于 2017-11-27 09:40
  
学习了一下!原来MAC地址老是学习不会!原因在这!
龙腾风云 Lv3发表于 2017-12-5 17:28
  
小伙子,这个想法很有前途。