旁挂模式且跨三层场景通过MAC地址限制用户上网

前提：三层交换机需启用SNMP协议，AC作为SNMP客户端通过SNMP读取交换机，只支持SNMPv1,v2,v2c,不支持v3。

1、通过SNMPv2版本与核心交换机设备进行对接，获取核心交换机设备上的用户MAC地址信息：

华为的命令：

system_view

snmp-agent community read public       其中public为三层交换机的Community

snmp-agent sys-info version all             其中all表示所有版本

思科的命令：

config terminal                                        进入全局配置状态

Cdp run                                                   启用CDP

snmp-server community public ro          其中public为三层交换机的Community

snmp-server enable traps                        允许设备将所有类型SNMP Trap发送出去

2、AC设备上启用跨三层MAC识别功能：

可以新增多个SNMP服务器

注意：AC设备上添加SNMP团体属性需要与交换机保持一致

3、查看服务器信息，测试能否从交换机获取PC的IP和MAC，有返回结果则能正常获取

4、MAC地址认证策略

a、添加上网认证策略（允许上网用户MAC地址表）：需保证该策略置顶或在默认策略之上；

b、修改默认策略为不允许上网

用户流量优先按照上网认证策略进行匹配，未匹配上允许上网用户MAC地址表将会匹配上默认禁止上网策略。

注：手机端的部分用户使用随机MAC访问互联网，添加固定地址测试无效。若目前添加的随机MAC地址过期，可能会导致连接无线后无法上网，建议用户关闭随机MAC地址，使用设备本机MAC地址，并联系管理员在允许列表添加用户本机MAC地址信息。

多谢楼主的分享，期待楼主更多的分享。

每天学习打卡，十分的有助于工作。

感谢分享，有助于工作和学习

每天学习一点新知识，谢谢分享

学习了，有助于工作。

每天学习一点新知识，谢谢分享

66666666666666666666666

多谢楼主的分享，期待楼主更多的分享。

好好学习，天天向上！~~~~~