SINFOR_AC跨三层mac地址绑定配置指导.doc

目录跨三层mac地址绑定的配置方法1本文说明1跨三层mac地址绑定原理1跨三层mac地址绑定的配置步骤2步骤一：配置三层交换机的SNMP选项2步骤二：配置AC设备的SNMP项2步骤三：对内网用户认证启用mac地址绑定4跨三层mac地址绑定的高级应用5跨三层mac地址绑定的配置方法本文说明 AC1.96版本开始，支持在跨三层环境下，对内网用户单独绑定mac地址。AC1.96之前的版本是不支持该功能的，因为在跨三层交换机的环境下，数据经过三层交换机后源mac地址都会转变成三层交换机的mac，这样会导致AC设备无法识别内网电脑的真实mac地址，从而导致启用绑定mac后的认证失败。针对这个情况，1.96做了改善，通过AC设备直接到三层交换机上通过SNMP协议定期获取用户端的真实mac来解决这个问题，下文将详细介绍如何配置使用这个功能。跨三层mac地址绑定原理在有三层交换机的网络环境下（如下图），内网用户采用绑定mac地址的认证方式来上网。此时，AC1.96版本，对客户端mac地址的效验是依靠snmp协议来实现的。过程如下：前提条件：在设备上以及三层交换机上都配置了snmp的相关项。1、 AC设备作为snmp客户端，会定期向三层交换机的udp 161端口发送获取其MAC地址表的请求信息。2、 三层交换机作为snmp服务器端，当收到来自AC的请求后，会将自己的MAC地址表回复给AC设备。3、 设备会将由三层交换机上获得的MAC地址表内容，同内网绑定mac认证的用户此时的ip地址和以及其绑定的mac地址与作比较。如果MAC地址信息跟设备上绑定的信息一致，则该用户认证成功。如果MAC地址信息不一致，则该用户认证失败。跨三层mac地址绑定的配置步骤 下文将以内网中只有一台三层交换机的情况为例，介绍在有单台三层交换机的环境下（如下图），内网用户mac地址绑定的配置方法。步骤一：配置三层交换机的SNMP选项。步骤二：配置AC设备的SNMP项。步骤三：对内网用户认证启用mac地址绑定。步骤一：配置三层交换机的SNMP选项 不同的用户使用的三层交换机不同，以下列出的是华为跟思科的三层交换机的SNMP选项的配置方法，如果用户的三层交换机本身就已经支持并使用了snmp协议则无需配置。主要需要获取的是三层交换机的Community的值。华为交换机的配置命令：system_viewsnmp-agent community read public； 其中public为三层交换机的Communitysnmp-agent sys-info version all； 其中all表示所有版本思科交换机的配置命令：先要查看思科端口IP多少，然后通过深信服连接config terminal 进入全局配置状态Cdp run 启用CDPsnmp-server community public ro 其中public为三层交换机的Community（必须先设置public，以后可以改）snmp-server enable traps 允许设备将所有类型SNMP Trap发送出去注意事项：三层交换机需要支持SNMP协议的v2c-v3版本，否则不支持跨三层的mac地址绑定。步骤二：配置AC设备的SNMP项 在【上网行为管理】-【认证选项设置】中，SNMP选项设置里可以看到设备中跟SNMP相关的各项配置，如下图。AC设备中的SNMP配置：1、配置SNMP服务器列表：要求每行填入一个三层交换机的IP、MAC、Oid和Community。 格式要求：IP/MAC/Oid/Community。格式说明：IP和MAC为三层交换机离设备最近的接口的ip和mac地址； Oid一般填写：1.3.6.1.2.1.3.1.1.2或者1.3.6.1.2.1.4.22.1.2即可； Community是步骤一中配置或获取的Community的值。 如实例图中配置可知，192.200.200.1和00-01-04-61-b4-13是三层交换机跟设备相接的接口的ip和mac地址，1.3.6.1.2.1.3.1.1.2是Oid，public是Community值。2、启用SNMP协议：如上图，点击【SNMP选项设置】中的启用，然后点击页面下方的确认。其他配置内容的说明： 【访问SNMP服务器超时设置】这个是用于配置设备跟三层交换机通信过程中，多久没获得三层交换机的回应就会超时告警。 【访问SNMP服务器时间间隔】这个是用于配置设备多久会去三层交换机上取一次内网用户的mac地址表。 以上两个参数建议保持默认值即可。步骤三：对内网用户认证启用mac地址绑定对内网用户认证启用mac地址绑定分为两种情况：情况一：如果是刚上架的设备，内网用户都还没有配置，可以直接在新用户认证的时候，就启用绑定mac地址的认证。配置方法：在【上网行为管理】-【认证选项设置】-【新用户认证】中，新增策略，或者修改默认策略的用户认证方式为绑定MAC或绑定IPMAC，如下图。其他项的配置根据客户的具体需求来配置即可。 注意事项：配置这一步之前一定要先配置SNMP的相关项，否则会导致内网用户错误绑定了三层交换机的MAC后，内网其他电脑都无法上网！情况二：如果设备的用户列表中已经设置此用户了，则直接编辑用户，修改用户的认证方式为mac绑定或IPMAC绑定，并填入用户的真实mac地址即可。如下图，直接编辑用户192.200.200.103，修改该用户的绑定方式为绑定mac。注意事项：此处界面上的扫描MAC地址是设备本身通过netbios协议去扫描的，而不是依靠的snmp协议去三层交换机上获取，所以此处的扫描需要内网计算机本身支持并启用了该协议，且三层交换机没有对netbios协议做限制。跨三层mac地址绑定的高级应用上文主要介绍了内网只有一台三层交换机的情况下如何配置，下文将介绍内网有多台交换机的情况下，如何进行配置。如上图，实例中内网存在3台三层交换机，其中一台为核心交换机，另外两台分别为三层交换机A跟B，跨三层mac地址绑定的配置方法跟上文所属的步骤一致，需要注意的是：1 三层交换机A和B都必须支持并启用SNMP协议（版本为v2或v3），并且配置或获得其SNMP的community的值。核心交换机不要求一定能支持SNMP，但是设置SNMP选项时必须要把核心交换机的IP、MAC填写进去，在不支持SNMP时，oid和community可以随便设置。2 在设备上配置SNMP项时，需要把3台交换机的SNMP项都完整配置好，如下图。由上图可知：第一行中，192.168.0.1和00-65-51-b2-04-16是核心三层交换机跟设备相接的接口的ip和mac地址，1.3.6.1.2.1.3.1.1.2是Oid，public是Community值。第二行中，192.168.1.1和00-65-51-b1-03-22是三层交换机A离设备最近的接口的ip