#每日一记#15第14篇行为管理AC之『跨三层取MAC』篇

今天学习如何跨三层取MAC

跨三层取MAC提供两种方式，设置方法如下：

第一种：通过镜像读取内网用户的MAC

勾选【抓取ARP包或者DHCP包获取MAC】，将AC任意一个空闲的网口接到交换机，交换机对应的接口启用镜像，将相关数据包镜像到AC，此方法不需要交换机启用snmp协议。

第二种：配置跨三层取MAC

内网用户绑定MAC地址或者限定了用户的MAC地址范围，并且内网是跨三层的环境下，需要启用『跨三层取MAC』的功能，用于获取内网用户的MAC地址。使用此功能的前提是内网交换机支持SNMP功能，AC通过SNMP协议获取交换机上内网用户真实的MAC地址。

原理：设备上会定期发snmp request到三层交换机请求交换机的MAC表，并保存在设备内存中。此时如果三层交换机其它网段的电脑经过设备上网时，如一台PC 192.168.1.2（和设备lan口不在同一网段）经过设备上网，该PC数据包经过设备时，设备校验此数据包的MAC是三层交换机的MAC，则对此MAC不做处理，而根据192.168.1.2这个IP去内存中查找其真实的MAC地址，实现对用户真实MAC的验证。

第一步：在三层交换机上开启SNMP功能。

第二步：点击进入『认证高级选项』→『跨三层取MAC』进行设置，在设备界面上勾选『启用跨三层MAC识别』：

第三步：设置[SNMP服务器列表]把需要获取MAC地址的三层交换机信息添加进来：

三层交换机首先需要启用SNMP功能。

[IP]：填写交换机IP地址

[IP OID]：填写SNMP信息中IP对应的OID

[MAC OID]：填写SNMP信息中MAC对应的OID

[community]：填写SNMP协商的密钥

[超时时间]：设置AC获取SNMP信息的超时时间

[获取时间间隔]：设置AC多久发一次SNMP请求获取信息

[每次获取的最大个数]：设置每次获取的SNMP条目的最大个数

点击查看服务器信息，用于查看SNMP服务器即交换机的上的SNMP信息

点击提交，完成设置。

第四步：填写内网交换机的MAC地址，避免这部分MAC被用户绑定，如图：

第五步：除了上一步手动填写交换机的MAC地址外，设备还可以自动发现三层交换机的MAC地址。原理是：每10分钟统计一次MAC对应的IP地址数，如果是三层交换机的MAC，则一个MAC会对应多个IP地址。

点击查看每MAC统计结果，查看统计的结果。

如果勾选[自动添加排除MAC]，设备会根据设置的[IP地址记录数]，自动将超过IP记录数的MAC地址添加到MAC地址排除列表中。

勾选[自动添加排除MAC功能告警]，用于在自动添加MAC后，发送告警邮件给管理员。告警选项在『系统管理』→『系统配置』→『告警选项』中设置。

感谢无私分享，学习学习

图文并茂，非常详细，适合学习参考

打卡学习！

我参加了【2020匠心服务】有空的帮忙点赞回复，谢谢https://bbs.sangfor.com.cn/forum ... read&tid=134539