|
一、测试拓扑
用户使用H3C 5560作为三层接入汇聚,办公网段网关均在汇聚设备,H3C 7508IRF 作为核心交换机,核心G2/1/0/9口旁挂了一台DHCP服务器,提供内网接入终端的IP分配,核心交换机通过G2/9/0/28口连接前端上网行为管理eth0口进行用户认证及上网,当前认证方式为AD域脚本单点登录;本次测试通过镜像H3C 7508核心交换机G2/1/0/9至G2/9/0/31给上网行为管理eth5口识别DHCP报文获取终端MAC地址。
二、测试内容 现有客户关注云桌面产品,考虑将公司研发部门人员办公电脑进行管控不允许上网,研发人员上网需通过云桌面,从而实现研发部门的内外网隔离;当前垮三层取MAC通过SNMP,终端MAC获取慢且准确率低,故本次将上网行为管理设备版本升级至12.0R3,通过镜像DHCP服务器流量进行获取MAC测试使用效果,为今后通过MAC管控研发部门的终端打下基础。
三、设备配置 1.Sangfor SG/AC 上的配置 (1)开启镜像口 跨三层取MAC (2)新增认证策略及用户管理用户认证与管理-->用户认证-->认证策略-->新增 填写策略名称和需管控的MAC地址 认证方式为 不需要认证-以MAC地址为用户名 认证的处理 自动录入到本地用户组 “MAC用户” 用户认证与管理-->用户管理-->组/用户 MAC用户 添加或编辑 MAC用户显示名 注:此处为可选项(添加显示名为了更好的显示出MAC所属的终端用户) (3)新增拒绝上网策略策略管理-->上网策略-->上网权限策略 新增一条 MAC用户使用的策略 添加应用控制 拒绝所有上网服务 将该策略应用到 “MAC用户” 用户组
2.H3C S7508 交换机配置 #新建镜像组1 mirroring-group 1 local #镜像DHCP服务器接口进出流量 mirroring-group 1 mirroring-port GigabitEthernet 2/1/0/9 both #镜像流量的观察口,即连接上网行为管理eth5口 mirroring-group 1 monitor-port GigabitEthernet 2/9/0/31
四、验证
打开网页会提示策略拒绝,PC端远程Teamviewer和QQ都已经离线 | 
发表于 2017-11-15 14:11
又发现了一个跨三层取MAC的新用法。 可以像楼主这样,通过镜像DHCP服务器的包来做取MAC。
