SG12.0R3 通过镜像DHCP服务器跨三层获取MAC
  

tonytongGrba 3244514人觉得有帮助

{{ttag.title}}

AC/SG通过DHCP跨三层取MAC


一、测试拓扑

       用户使用H3C 5560作为三层接入汇聚,办公网段网关均在汇聚设备,H3C 7508IRF 作为核心交换机,核心G2/1/0/9口旁挂了一台DHCP服务器,提供内网接入终端的IP分配,核心交换机通过G2/9/0/28口连接前端上网行为管理eth0口进行用户认证及上网,当前认证方式为AD域脚本单点登录;本次测试通过镜像H3C 7508核心交换机G2/1/0/9至G2/9/0/31给上网行为管理eth5口识别DHCP报文获取终端MAC地址。

二、测试内容
       现有客户关注云桌面产品,考虑将公司研发部门人员办公电脑进行管控不允许上网,研发人员上网需通过云桌面,从而实现研发部门的内外网隔离;当前垮三层取MAC通过SNMP,终端MAC获取慢且准确率低,故本次将上网行为管理设备版本升级至12.0R3,通过镜像DHCP服务器流量进行获取MAC测试使用效果,为今后通过MAC管控研发部门的终端打下基础。

三、设备配置
    1.Sangfor SG/AC 上的配置
      (1)开启镜像口 跨三层取MAC
     (2)新增认证策略及用户管理
用户认证与管理-->用户认证-->认证策略-->新增   填写策略名称和需管控的MAC地址
认证方式为 不需要认证-以MAC地址为用户名
认证的处理 自动录入到本地用户组 “MAC用户”
用户认证与管理-->用户管理-->组/用户 MAC用户 添加或编辑 MAC用户显示名
注:此处为可选项(添加显示名为了更好的显示出MAC所属的终端用户)
     (3)新增拒绝上网策略
策略管理-->上网策略-->上网权限策略 新增一条 MAC用户使用的策略
添加应用控制  拒绝所有上网服务
将该策略应用到 “MAC用户” 用户组

   2.H3C S7508 交换机配置
         #新建镜像组1
         mirroring-group 1 local
         #镜像DHCP服务器接口进出流量
         mirroring-group 1 mirroring-port GigabitEthernet 2/1/0/9 both
         #镜像流量的观察口,即连接上网行为管理eth5口
         mirroring-group 1 monitor-port GigabitEthernet 2/9/0/31

四、验证


打开网页会提示策略拒绝,PC端远程Teamviewer和QQ都已经离线

打赏鼓励作者,期待更多好文!

打赏
34人已打赏

AC规划经理94563 发表于 2017-11-15 14:34
  
又发现了一个跨三层取MAC的新用法。 可以像楼主这样,通过镜像DHCP服务器的包来做取MAC。

我们最开始推荐的做法是,在核心上增加一个trunk口,允许所有vlan, 把这个trunk口连到AC上。 这样可以把所有广播包复制到AC上,包括ARP包和DHCP的包。

楼主这种做法也很好,对DHCP是集中的客户是比较通用的做法。 果然高手在民间
菜菜 发表于 2017-11-21 11:34
  
好思路!!!
zhangxin 发表于 2017-11-21 14:53
  
这方法厉害了
一个无趣的人 发表于 2017-11-22 22:12
  
这个方法很不错。学习了!
弓长湿兄 发表于 2017-11-23 09:21
  
学习了!!!!!!!不错
新手902384 发表于 2017-11-24 15:43
  
一个非常好的方法,学习了!
土老冒 发表于 2017-11-24 15:57
  
受教了
nrsheng 发表于 2017-11-27 09:40
  
学习了一下!原来MAC地址老是学习不会!原因在这!
龙腾风云 发表于 2017-12-5 17:28
  
小伙子,这个想法很有前途。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
316
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人