跨三层MAC学习
本帮助主要介绍以下内容:
特性简介
跨三层MAC学习功能是指当设备和终端(如PC)之间有三层网络设备时,设备仍然可以学习到终端的MAC地址。
当终端采用动态IP地址访问网络时,使用IP地址作为过滤条件已经无法实现对网络流量的准确匹配和控制,此时需要使用MAC地址作为策略的过滤条件。但是在跨三层网络设备的组网环境中,设备无法直接获取终端的MAC地址,使用跨三层MAC学习功能可以获取终端的MAC地址。
图-1 跨三层MAC学习流程图
跨三层MAC学习具体流程如下:
三层网络设备(一般为网关设备)学习终端的IP-MAC映射关系,生成ARP表项;
设备定期向三层网络设备发送SNMP请求报文,获取其ARP表项;
三层网络设备响应SNMP请求报文,返回ARP表项;
设备收到ARP表项后将其保存在内存中,最终学习到终端的MAC地址。
使用限制和注意事项
跨三层MAC学习功能目前仅支持学习IPv4地址映射的MAC地址。
在使用跨三层MAC学习功能时,设备与目标三层网络设备之间不能跨越NAT。
跨三层MAC学习功能不支持在VRF网络环境中使用。
配置指南
配置准备
在配置本特性之前,需要完成以下任务:
配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。
配置路由,保证路由可达。路由在“网络 > 路由”页面配置。
创建安全域。安全域在“网络 > 安全域”页面配置。
配置接口加入安全域。可在安全域页面添加接口,也可在接口页面选择接口所属的安全域。
配置安全策略,放行业务流量。安全策略在“策略 > 安全策略”页面配置。
需要保证组网中与设备对接的三层网络设备已开启SNMP Agent服务,已配置团体名且支持SNMP v2c或SNMP v3版本。
开启跨三层MAC学习
当终端采用动态IP地址访问网络时,使用IP地址作为过滤条件已经无法实现对网络流量的准确匹配和控制,此时需要使用MAC地址作为策略的过滤条件。但是在跨三层网络设备的组网环境中,设备无法直接获取终端的MAC地址,使用跨三层MAC学习功能可以解决此问题。
选择“系统 > 系统与维护 > 跨三层MAC学习 > 三层设备访问设置”。
在“三层设备访问设置”页面开启跨三层MAC学习功能。
图-2 开启跨三层MAC学习
配置访问目标三层网络设备的时间间隔和超时时长,具体内容如下表所示。
表-1 配置访问目标三层网络设备的时间间隔和超时时长参数表
参数
说明
SNMP请求的时间间隔
配置发送SNMP请求报文的时间间隔,单位为秒
等待SNMP响应的超时时间
配置等待SNMP响应报文的超时时间,单位为秒
单击<应用>按钮。
在“三层设备访问设置”页面的三层设备列表下,单击<新建>按钮。
图-3 添加v2c版本三层设备
图-4 添加v3版本三层设备
在“新建三层设备”页面配置三层设备信息,具体内容如下表所示。
表-2 新建三层设备
认证方式
说明
SNMP版本
配置SNMP协议使用的版本,其包括v2c和v3版本
三层设备IP地址
配置目标三层网络设备的IP地址,一般为终端网络的网关设备,以获取此三层设备上的ARP表。目前仅支持IPv4地址
团体名(v2c版本支持)
团体名相当于密码,团体内的设备通信使用团体名来进行认证。只有与目标三层设备上SNMP Agent的团体名相同时,才能互相访问
用户名(v3版本支持)
只有与目标三层设备上SNMP Agent的用户名相同时,才能进行认证
认证方式
这几项信息的配置必须与目标三层设备上SNMP Agent的配置信息相同时,才能认证成功进行互相访问
认证密码
加密方式
加密密码
单击<确定>按钮。
学习完成后,选择“系统 > 系统与维护 > 跨三层MAC学习 > MAC学习列表”,可查看学习记录,包含IPv4地址与MAC地址的映射关系,以及表项老化时间。
图-5 MAC学习列表
