• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(E6411 R6609)-6W107

目录

07-SNMP跨三层MAC地址学习功能典型配置举例

本章节下载 07-SNMP跨三层MAC地址学习功能典型配置举例  (293.05 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(E6411_R6609)-6W107/202009/1334130_30005_0.htm

07-SNMP跨三层MAC地址学习功能典型配置举例


1  简介

本文档介绍ACG1000设备跨三层MAC地址学习功能配置举例,设备通过SNMP读取三层交换机上的ARP表,获得内网所有PC的IP和MAC对应条目。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

在配置前,需要做如下准备:

·     交换机上已开启SNMP代理功能。

·     ACG1000设备与交换机网络可达。

·     本文档假设您已了解跨三层MAC地址学习功能特性。

3  跨三层MAC地址学习功能配置举例

3.1.1  组网需求

图1所示,某公司内网办公网段IP地址172.16.10.0/24,上联三层交换机,172.16.10.1/24为内网办公网的网关,ACG1000作为网关出口,下联三层交换机。ACG1000产品上开启跨三层MAC地址学习功能,读取三层交换机上的ARP表,获得内网所有PC的IP和MAC对应条目。

图1 跨三层MAC地址学习组网图

 

3.1.2  配置思路

·     开启跨三层MAC地址学习功能。

·     配置跨三层MAC地址学习功能。

3.1.3  使用版本

本举例是在R6608版本上进行配置和验证的。

3.1.4  配置步骤

(1)     开启跨三层MAC地址学习功能

图2所示,进入系统管理 >SNMP>跨三层MAC地址学习,点击<全局配置>按钮开启跨三层MAC地址学习功能。

图2 开启跨三层MAC地址学习功能

 

(2)     配置跨三层MAC地址学习功能

图3所示,进入系统管理>SNMP>跨三层MAC地址学习,点击<新建>按钮开启配置跨三层MAC地址学习功能。

图3 跨三层MAC地址学习功能配置

 

表1 跨三层mac地址学习配置项含义表

标题项

说明

名称

新建跨三层mac地址学习条目名称,限制1-31字符

ip地址

三层交换机IP地址,格式为:A.B.C.D

mac地址

与设备相连交换机的mac地址,格式如:xx:xx:xx:xx:xx:xx

团体名

snmp的团体名,需要与交换机团体名保持一致,限制1-31字符

版本号

snmp版本号,分为v1和v2版本

 

(3)     如图4所示,在跨三层MAC地址学习新建界面配置相关功能,点击<提交>。

图4   配置完成跨三层MAC地址学习相关功能

 

3.1.5  配置注意事项

·     默认情况下,跨三层MAC地址学习功能是关闭的。

·     ACG1000设备上配置的团体名与三层交换机上保持一致。

·     新建功能配置条目中的MAC地址是与ACG1000设备相连的交换机接口的MAC地址。

3.1.6  验证配置

1. 在IPMAC表页面查看学习到的MAC情况

图5所示,在系统管理>SNMP>IPMAC表查看到的MAC情况,并可以进行IP-MAC绑定。

图5  IPMAC表页面

 

2. 在线用户管理页面查看用户mac地址

图6所示,使用PC地址172.16.10.2访问外网,在在线用户管理页面上查看用户172.16.10.2的终端mac地址为PC真实的mac地址。

图6 开启跨三层MAC地址学习功能后在线用户管理页面查看用户mac地址

 

图7所示,在未开启跨三层MAC地址学习功能时,使用PC地址172.16.10.2访问外网,在在线用户管理页面上查看用户172.16.10.2的终端mac地址为三层交换机的MAC地址并非PC真实的mac地址。

图7 未开启跨三层MAC地址学习功能在线用户管理页面查看用户mac地址

 

4  跨三层MAC地址学习功能使用限制及注意事项

·     新建跨三层MAC地址学习条目的mac地址是与设备相连的交换机的地址。

·     ACG1000设备配置的团体名需要跟交换机上的团体名一致,团体字中不能包含中文。

·     开启跨三层扫描及MAC-IP绑定后,交换机下的新用户IPMAC如果不能及时学习到,数据直接放通,在线用户列表中的MAC会显示成三层交换机的MAC。

·     在配置多个交换机时扫描开始后串行逐个扫描,待所有交换机扫描完毕后等待配置的更新时间后再开始下一轮扫描。

·     对于每次扫描结果如何处理:如果旧表中有对应mac,则更新老化时间,如果没有,则新增。对于旧表中有但没有新学习到的mac,等老化后删除。

·     跨三层MAC地址学习是分两步:

a.     snmp协议跟交换机交互报文,来学习IP/mac条目,并将IP/mac条目存到文件中(网络好时报文交互快,学的也快)。

b.     从文件中读IP/mac,进行新旧对比并更新老化时间。

·     正常情况下,全局开启跨三层扫描后启动老化定时器,30分钟执行一次老化,然后更新定时器的时间进行下一次老化,如果条目达到59000条,触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟;当再次达到59000条时,判断当前时间-上次快速老化时间〈10分钟,什么都不做;否则触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟。

·     快速老化机制:

a.     IPMAC表达到59000条时触发快速老化,将已经老化的IP/mac全清掉,规格满直接丢新的条目。

b.     两次快速老化的时间间隔是10分钟。

5  相关资料

·     《H3C SecPath ACG1000系列应用控制网关Web配置手册》 中的“跨三层MAC地址学习”

·     《H3C SecPath ACG1000系列应用控制网关 对外测试手册》中的“跨三层MAC地址学习”

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们