AC开启跨三层取MAC，但是获取不到MAC如何排查？

AC开启跨三层取MAC，但是获取不到MAC如何排查？

此排查思路适用于以下场景

现象1、部分用户的无法获取MAC

现象2、所有用户无法或者获取到MAC

现象3、设备配置了MAC免认证和跨三层取MAC但是发现部分PC无法正常免认证上线或者需要等待较长时间才能上线



可能原因

第三方产品&环境问题

1、AC和核心交换机通信异常，如交换机做了获取IP限制等

2、三层交换机异常，不回AC的SNMP请求，导致获取不成功

3、问题PC上网未经过该AC

4、镜像数据错误或者不完整导致获取数据异常（镜像arp或者dhcp方式获取不成功）

5、准入找网关不成功（准入方式获取MAC不成功）



功能配置问题

1、AC设备上的IP OID和MAC OID、团体名等和交换机的不一致导致无法获取到

2、核心交换机未开启V2版本导致AC获取不到，需开启SNMP协议所有版本

3、三层交换机SNMP配置和AC上配置不一致导致无法取到IP/MAC

4、下联的多个三层交换机或三层设备没有全部配置跨三层取MAC



排查思路

1、首先确认问题PC上网的数据有经过配置MAC认证的AC，若经过多个三层设备，则多个设备都需要在AC上配置跨三层取MAC；

2、查看数据流经过的三层设备的ARP表，是否里面已经包含问题PC的IP/MAC对应表；

3、若有获取到问题PC的IP/MAC对应表，则登录AC跨三层取MAC设置SNMP服务器设置列表中确认当前列表中是否有配置三层交换机的地址配置；登录交换机查看SNMP设置，版本需要是V1/V2/V2C或者ALL，团体名需要和AC上配置一致；

4、在AC上跨三层取MAC设置中对应三层交换机设置中查看服务器信息，看看是否有获取到IP、MAC对应关系，提示连接超时，尝试将每次获取到的最大个数设置为较小数值；

5、获取不到IP、MAC对应关系也可能是PID、OID设置错误，使用BPSNMPUtil测试当前设置oid能否获取到IP/MAC对应关系；

6、若查询无结果，使用默认MAC OID尝试（ip oid: 1.3.6.1.2.1.3.1.1.3 macoid: 1.3.6.1.2.1.3.1.1.2），如无结果可尝试根据对应交换机厂商找对应厂商或者官网找到设备mib库找到相关id值测试获取，成功获取后填入设备中；

7、在提交完成后需要在当前获取到的IP/MAC列表中查询当前已经获取到的信息，列表中有对应IP/MAC地址则可正常上线，如果添加交换机较多获取数据量比较大，新接入PC可能需要3-5分钟时间才能成功MAC免认证上线；

8、尝试梳理当前已有配置，排查问题PC上网经过的多个三层设备是否都有配置跨三层取MAC，尝试逐个配置点击查看服务器信息看是否都能成功获取到，将提示超时的条目调整或删除，将获取信息重复的清除；

跨三层取mac主要用于：终端用户经过其它三层设备（路由器、三层交换机等）在到AC时源Mac变化，需要通过snmp协议获取内网终端用户的真实mac地址，除认证中心其他部署模式都支持跨三层取Mac；

三层交换机（或其他三层设备）上需要做的配置：先在终端网关设备上开启snmp V2C版本，确认好跟AC对接的三层设备的community团体值、OID、IP地址，AC上必须跟三层设备保持一致（IP OID和MAC OID如果不明确的话需要找交换机厂商确认）且每个参数必填项，三层设备开启SNMP等操作需要跟交换机等三层厂商确认

AC上具体配置&关闭路径如下（三层交换机配置好的前提下做以下配置）：

方案一：通过SNMP服务器获取跨三层MAC信息：

AC/SG设备上启用跨三层取MAC配置并配置服务器信息，如下：

1、从标准版本全网AC13.0.102开始是新UI界面：在【接入管理】-【接入认证】-【联动对接设置】-【跨三层取MAC】新增snmp服务器；

2、AC12.0.47或AC13.X及之后版本：在【接入管理】-【接入认证】-【联动对接设置】-【跨三层取MAC】新增snmp服务器；

3、11.X及之后版本：在【用户认证与管理】-【认证高级选项】-【跨三层取MAC】新增snmp服务器；

方案二：通过抓取arp包或dhcp包获取跨三层MAC信息：

从标准版本全网AC13.0.102开始是新UI界面：在【接入管理】-【接入认证】-【联动对接设置】-【跨三层取MAC】设置抓取arp包或dhcp包获取mac

AC12.0.3R3及以上的版本，新增【抓取arp包或dhcp包获取mac】：在设置的抓包接口可以抓到终端的arp或者dhcp即可；

AC11.X及之后的版本跨三层取MAC配置，建议参考链接：点击这里

AC12.0.3R3及以上版本通过抓取arp包或dhcp包获取mac的配置，建议参考链接：点击这里

注意：

1、优先建议使用通过镜像读取内网用户的MAC的方式

2、如果内网终端有多个网关设备，可以【新增】多个SNMP服务器，最多支持64条snmp服务器配置

3、超时时间默认5S，支持修改1-5S，获取时间间隔默认5S，支持修改5-300S，如果网关设备arp条目很多，频繁获取导致网关设备cpu或者内存高，可以调整获取时间间隔

4、AC需要跟三层设备通信，所以中间设备包括三层设备本身不能对通信的IP地址和UDP161、UDP162端口设置拦截。

5、AC设备跨三层MAC识别的团体名是否支持数字和启用SNMP的设备有关系，启用SNMP设备团体名支持设置数字即AC也支持

6、支持同时以抓取arp包或dhcp包获取mac、配置SNMP服务器的方式获取终端MAC地址