本举例是在F5000-AI160的E8371版本上进行配置和验证的。
如下图所示,某公司内网主机经过三层网关设备与Device连接,并通过Device与外网相连。
公司内网主机的IP地址动态分配,公司仅允许Host A(MAC:00e0-0000-0001)和Host B(MAC:00e0-0000-0002)访问外网,其余主机不允许访问外网。
图-1 跨三层MAC学习基础配置组网图
配置接口IP地址、路由从而保证网络路由可达,具体配置步骤略。
在Gateway上配置SNMP Agent支持SNMPv2本、只读团体名为public,以明文方式配置团体名并以密文方式保存到配置文件中。
<Gateway> system-view
[Gateway] snmp-agent sys-info version v2c
[Gateway] snmp-agent community read simple public
配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 2.2.2.2 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到Internet下一跳IP地址为3.3.3.1,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 1.1.1.0 24 2.2.2.1
[Device] ip route-static 0.0.0.0 0 3.3.3.1
配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
配置安全策略
# 配置名称为rule1的安全策略规则,仅允许Device访问Gateway,以便Device可以学习Gateway上的ARP表项,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name rule1
[Device-security-policy-ip-0-rule1] source-zone local
[Device-security-policy-ip-0-rule1] destination-zone trust
[Device-security-policy-ip-0-rule1] source-ip-host 2.2.2.2
[Device-security-policy-ip-0-rule1] destination-ip-host 2.2.2.1
[Device-security-policy-ip-0-rule1] action pass
[Device-security-policy-ip-0-rule1] quit
# 配置名称为rule2的安全策略规则,仅允许内网中的Host A和Host B访问外网,具体配置步骤如下。
[Device-security-policy-ip] rule name rule2
[Device-security-policy-ip-1-rule2] source-zone trust
[Device-security-policy-ip-1-rule2] destination-zone untrust
[Device-security-policy-ip-1-rule2] source-mac groupmac
[Device-security-policy-ip-1-rule2] action pass
[Device-security-policy-ip-1-rule2] quit
# 激活安全策略规则的加速功能,具体配置步骤如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
配置跨三层MAC学习相关功能
# 开启通过SNMP协议同步ARP表项功能,配置Device从目标三层网络设备获取ARP表项,具体配置步骤如下。
[Device] snmp-server arp-sync enable
[Device] snmp-server arp-sync target-host address 2.2.2.1 community simple public v2c
[Device] snmp-server arp-sync interval 10 timeout 4
创建MAC地址对象组,将允许通过的主机的MAC地址加入此对象组
# 创建名称为groupmac的MAC地址对象组,创建MAC地址对象00e0-0000-0001和00e0-0000-0002,具体配置步骤如下。
[Device] object-group mac-address groupmac
[Device-obj-grp-mac-groupmac] mac 00e0-0000-0001
[Device-obj-grp-mac-groupmac] mac 00e0-0000-0002
[Device-obj-grp-mac-groupmac] quit
配置完成后,Device通过跨三层MAC学习功能获取到的ARP表项如下所示。
# 显示通过SNMP协议同步的ARP表项。
[Device] display snmp-server arp-sync table
IP Address MAC Address Aging(M)
1.1.1.1 00e0-0000-0001 1
1.1.1.2 00e0-0000-0002 1
1.1.1.3 00e0-0000-0003 1
Total:3
配置完成后,内网中的Host A和Host B可以访问外网,Host C不能访问外网。
#
interface GigabitEthernet1/0/1
ip address 2.2.2.2 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 3.3.3.3 255.255.255.0
#
ip route-static 1.1.1.0 24 2.2.2.1
ip route-static 0.0.0.0 0 3.3.3.1
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name Untrust
import interface GigabitEthernet1/0/2
#
security-policy ip
rule 1 name rule1
action pass
source-zone local
destination-zone trust
source-ip-host 2.2.2.2
destination-ip-host 2.2.2.1
rule 2 name rule2
action pass
source-zone trust
destination-zone untrust
source-mac groupmac
#
snmp-server arp-sync enable
snmp-server arp-sync interval 10
snmp-server arp-sync timeout 4
snmp-server arp-sync target-host address 2.2.2.1 community cipher $c$3$DmibC1al
L//79hB/ErC6LV3sALbd2aoJow== v2c
#
object-group mac groupmac
0 mac 00e0-0000-0001
10 mac 00e0-0000-0002