SG12.0R3 通过镜像DHCP服务器跨三层获取MAC

AC/SG通过DHCP跨三层取MAC

一、测试拓扑

       用户使用H3C 5560作为三层接入汇聚，办公网段网关均在汇聚设备，H3C 7508IRF 作为核心交换机，核心G2/1/0/9口旁挂了一台DHCP服务器，提供内网接入终端的IP分配，核心交换机通过G2/9/0/28口连接前端上网行为管理eth0口进行用户认证及上网，当前认证方式为AD域脚本单点登录；本次测试通过镜像H3C 7508核心交换机G2/1/0/9至G2/9/0/31给上网行为管理eth5口识别DHCP报文获取终端MAC地址。

二、测试内容

       现有客户关注云桌面产品，考虑将公司研发部门人员办公电脑进行管控不允许上网，研发人员上网需通过云桌面，从而实现研发部门的内外网隔离；当前垮三层取MAC通过SNMP，终端MAC获取慢且准确率低，故本次将上网行为管理设备版本升级至12.0R3，通过镜像DHCP服务器流量进行获取MAC测试使用效果，为今后通过MAC管控研发部门的终端打下基础。

三、设备配置

    1．Sangfor SG/AC 上的配置

      （1）开启镜像口 跨三层取MAC

     （2）新增认证策略及用户管理

用户认证与管理-->用户认证-->认证策略-->新增   填写策略名称和需管控的MAC地址

认证方式为 不需要认证-以MAC地址为用户名

认证的处理 自动录入到本地用户组 “MAC用户”

用户认证与管理-->用户管理-->组/用户 MAC用户 添加或编辑 MAC用户显示名

注：此处为可选项（添加显示名为了更好的显示出MAC所属的终端用户）

     （3）新增拒绝上网策略

策略管理-->上网策略-->上网权限策略 新增一条 MAC用户使用的策略

添加应用控制  拒绝所有上网服务

将该策略应用到 “MAC用户” 用户组

   2．H3C S7508 交换机配置

         #新建镜像组1

         mirroring-group 1 local

         #镜像DHCP服务器接口进出流量

         mirroring-group 1 mirroring-port GigabitEthernet 2/1/0/9 both

         #镜像流量的观察口，即连接上网行为管理eth5口

         mirroring-group 1 monitor-port GigabitEthernet 2/9/0/31

四、验证

打开网页会提示策略拒绝，PC端远程Teamviewer和QQ都已经离线

感谢分享，学习一下~

感谢分享，学习一下~

每天坚持打卡学习签到！！

非常好的实践教程，谢谢分享

打卡学习，感谢大佬分享！

感谢楼主的精彩分享，有助工作

打卡学习，感谢大佬分享！

楼主辛苦了  写的好详细

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！