AC-启用SSL中间人解密后导致MAC变动注销

一、 故障现象

AC版本是12.0.44，用户环境为纯二层环境，AC网关路由模式部署，终端配置静态IP，网关IP配置为AC接口地址；共配置了两个LAN口，划分了两个网段；用户反馈在做了SSL中间人解密后隔几分钟会自动注销，并且时常伴随着IP/MAC绑定校验失败的提示，把SSL解密策略禁用后恢复正常。

二、 排查过程

经查询日志中心用户的注销日志，注销类型为MAC变动自动注销，查看变动后的MAC地址为de-62-1d-33-33-33，而正常MAC地址为94-c6-91-06-8b-da；随后登录二层交换机查询MAC地址表也未找到异常MAC。

       再次使用IP地址去用户认证故障中心查询，发现MAC地址被识别为de-62-1d-22-22-22或者de-62-1d-33-33-33，导致IP/MAC绑定信息不一致，校验失败。

查询了两个网段中上网认证异常的IP地址，均发现MAC均被识别为de-62-1d-22-22-22或者de-62-1d-33-33-33。

初步判断可能是受ARP病毒影响导致，但将SSL解密策略关闭后认证恢复正常，不符合ARP攻击的逻辑，随即联系了深信服400介入，400工程师排查未果后咨询了研发，经研发解释，在AC新版中的SSL解密模块内增加了de-62-1d-11-11-11、de-62-1d-22-22-22、de-62-1d-33-33-33等MAC地址用于给终端回包。

三、 处置方法

启用AC的跨三层取MAC功能，并将de-62-1d-11-11-11、de-62-1d-22-22-22、de-62-1d-33-33-33加入跨三层取MAC功能中的排除列表即可。

多谢分享启用SSL中间人解密后导致MAC变动注销的解决方法，学习了。