AC开启跨三层取MAC,但是获取不到MAC如何排查?

杨肉串串 1543

{{ttag.title}}
AC开启跨三层取MAC,但是获取不到MAC如何排查?

该疑问已被 解决,获得了 30 S豆

回帖即可获得
2S豆
,被楼主采纳即奖励20S豆+10分钟内回帖奖励10S豆 [已过期] ,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

此排查思路适用于以下场景

现象1、部分用户的无法获取MAC

现象2、所有用户无法或者获取到MAC

现象3、设备配置了MAC免认证和跨三层取MAC但是发现部分PC无法正常免认证上线或者需要等待较长时间才能上线



可能原因

第三方产品&环境问题

1、AC和核心交换机通信异常,如交换机做了获取IP限制等

2、三层交换机异常,不回AC的SNMP请求,导致获取不成功

3、问题PC上网未经过该AC

4、镜像数据错误或者不完整导致获取数据异常(镜像arp或者dhcp方式获取不成功)

5、准入找网关不成功(准入方式获取MAC不成功)



功能配置问题

1、AC设备上的IP OID和MAC OID、团体名等和交换机的不一致导致无法获取到

2、核心交换机未开启V2版本导致AC获取不到,需开启SNMP协议所有版本

3、三层交换机SNMP配置和AC上配置不一致导致无法取到IP/MAC

4、下联的多个三层交换机或三层设备没有全部配置跨三层取MAC



排查思路

1、首先确认问题PC上网的数据有经过配置MAC认证的AC,若经过多个三层设备,则多个设备都需要在AC上配置跨三层取MAC;

2、查看数据流经过的三层设备的ARP表,是否里面已经包含问题PC的IP/MAC对应表;

3、若有获取到问题PC的IP/MAC对应表,则登录AC跨三层取MAC设置SNMP服务器设置列表中确认当前列表中是否有配置三层交换机的地址配置;登录交换机查看SNMP设置,版本需要是V1/V2/V2C或者ALL,团体名需要和AC上配置一致;

4、在AC上跨三层取MAC设置中对应三层交换机设置中查看服务器信息,看看是否有获取到IP、MAC对应关系,提示连接超时,尝试将每次获取到的最大个数设置为较小数值;

5、获取不到IP、MAC对应关系也可能是PID、OID设置错误,使用BPSNMPUtil测试当前设置oid能否获取到IP/MAC对应关系;

6、若查询无结果,使用默认MAC OID尝试(ip oid: 1.3.6.1.2.1.3.1.1.3 macoid: 1.3.6.1.2.1.3.1.1.2),如无结果可尝试根据对应交换机厂商找对应厂商或者官网找到设备mib库找到相关id值测试获取,成功获取后填入设备中;

7、在提交完成后需要在当前获取到的IP/MAC列表中查询当前已经获取到的信息,列表中有对应IP/MAC地址则可正常上线,如果添加交换机较多获取数据量比较大,新接入PC可能需要3-5分钟时间才能成功MAC免认证上线;

8、尝试梳理当前已有配置,排查问题PC上网经过的多个三层设备是否都有配置跨三层取MAC,尝试逐个配置点击查看服务器信息看是否都能成功获取到,将提示超时的条目调整或删除,将获取信息重复的清除;
本答案是否对你有帮助?
凯Kane 发表于 2024-7-31 09:13
  
此排查思路适用于以下场景

现象1、部分用户的无法获取MAC

现象2、所有用户无法或者获取到MAC

现象3、设备配置了MAC免认证和跨三层取MAC但是发现部分PC无法正常免认证上线或者需要等待较长时间才能上线



可能原因

第三方产品&环境问题

1、AC和核心交换机通信异常,如交换机做了获取IP限制等

2、三层交换机异常,不回AC的SNMP请求,导致获取不成功

3、问题PC上网未经过该AC

4、镜像数据错误或者不完整导致获取数据异常(镜像arp或者dhcp方式获取不成功)

5、准入找网关不成功(准入方式获取MAC不成功)



功能配置问题

1、AC设备上的IP OID和MAC OID、团体名等和交换机的不一致导致无法获取到

2、核心交换机未开启V2版本导致AC获取不到,需开启SNMP协议所有版本

3、三层交换机SNMP配置和AC上配置不一致导致无法取到IP/MAC

4、下联的多个三层交换机或三层设备没有全部配置跨三层取MAC



排查思路

1、首先确认问题PC上网的数据有经过配置MAC认证的AC,若经过多个三层设备,则多个设备都需要在AC上配置跨三层取MAC;

2、查看数据流经过的三层设备的ARP表,是否里面已经包含问题PC的IP/MAC对应表;

3、若有获取到问题PC的IP/MAC对应表,则登录AC跨三层取MAC设置SNMP服务器设置列表中确认当前列表中是否有配置三层交换机的地址配置;登录交换机查看SNMP设置,版本需要是V1/V2/V2C或者ALL,团体名需要和AC上配置一致;

4、在AC上跨三层取MAC设置中对应三层交换机设置中查看服务器信息,看看是否有获取到IP、MAC对应关系,提示连接超时,尝试将每次获取到的最大个数设置为较小数值;

5、获取不到IP、MAC对应关系也可能是PID、OID设置错误,使用BPSNMPUtil测试当前设置oid能否获取到IP/MAC对应关系;

6、若查询无结果,使用默认MAC OID尝试(ip oid: 1.3.6.1.2.1.3.1.1.3 macoid: 1.3.6.1.2.1.3.1.1.2),如无结果可尝试根据对应交换机厂商找对应厂商或者官网找到设备mib库找到相关id值测试获取,成功获取后填入设备中;

7、在提交完成后需要在当前获取到的IP/MAC列表中查询当前已经获取到的信息,列表中有对应IP/MAC地址则可正常上线,如果添加交换机较多获取数据量比较大,新接入PC可能需要3-5分钟时间才能成功MAC免认证上线;

8、尝试梳理当前已有配置,排查问题PC上网经过的多个三层设备是否都有配置跨三层取MAC,尝试逐个配置点击查看服务器信息看是否都能成功获取到,将提示超时的条目调整或删除,将获取信息重复的清除;
韩立春 发表于 2024-7-31 09:15
  
跨三层取mac主要用于:终端用户经过其它三层设备(路由器、三层交换机等)在到AC时源Mac变化,需要通过snmp协议获取内网终端用户的真实mac地址,除认证中心其他部署模式都支持跨三层取Mac;
三层交换机(或其他三层设备)上需要做的配置:先在终端网关设备上开启snmp V2C版本,确认好跟AC对接的三层设备的community团体值、OID、IP地址,AC上必须跟三层设备保持一致(IP OID和MAC OID如果不明确的话需要找交换机厂商确认)且每个参数必填项,三层设备开启SNMP等操作需要跟交换机等三层厂商确认
AC上具体配置&关闭路径如下(三层交换机配置好的前提下做以下配置):
方案一:通过SNMP服务器获取跨三层MAC信息:
AC/SG设备上启用跨三层取MAC配置并配置服务器信息,如下:
1、从标准版本全网AC13.0.102开始是新UI界面:在【接入管理】-【接入认证】-【联动对接设置】-【跨三层取MAC】新增snmp服务器;
2、AC12.0.47或AC13.X及之后版本:在【接入管理】-【接入认证】-【联动对接设置】-【跨三层取MAC】新增snmp服务器;
3、11.X及之后版本:在【用户认证与管理】-【认证高级选项】-【跨三层取MAC】新增snmp服务器;
方案二:通过抓取arp包或dhcp包获取跨三层MAC信息:
从标准版本全网AC13.0.102开始是新UI界面:在【接入管理】-【接入认证】-【联动对接设置】-【跨三层取MAC】设置抓取arp包或dhcp包获取mac

AC12.0.3R3及以上的版本,新增【抓取arp包或dhcp包获取mac】:在设置的抓包接口可以抓到终端的arp或者dhcp即可;
AC11.X及之后的版本跨三层取MAC配置,建议参考链接:点击这里
AC12.0.3R3及以上版本通过抓取arp包或dhcp包获取mac的配置,建议参考链接:点击这里
注意:
1、优先建议使用通过镜像读取内网用户的MAC的方式
2、如果内网终端有多个网关设备,可以【新增】多个SNMP服务器,最多支持64条snmp服务器配置
3、超时时间默认5S,支持修改1-5S,获取时间间隔默认5S,支持修改5-300S,如果网关设备arp条目很多,频繁获取导致网关设备cpu或者内存高,可以调整获取时间间隔
4、AC需要跟三层设备通信,所以中间设备包括三层设备本身不能对通信的IP地址和UDP161、UDP162端口设置拦截。
5、AC设备跨三层MAC识别的团体名是否支持数字和启用SNMP的设备有关系,启用SNMP设备团体名支持设置数字即AC也支持
6、支持同时以抓取arp包或dhcp包获取mac、配置SNMP服务器的方式获取终端MAC地址
头像被屏蔽
JM 发表于 2024-7-31 09:22
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
真男人 发表于 2024-7-31 09:37
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手899116 发表于 2024-7-31 09:51
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
talent 发表于 2024-7-31 09:59
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手780102 发表于 2024-7-31 10:07
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手741261 发表于 2024-7-31 10:32
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手031815 发表于 2024-7-31 10:41
  
提示: 作者被禁止或删除 内容自动屏蔽

等我来答:

换一批

发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
316
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人