SINFOR_AC跨三層mac地址綁定配置指導(dǎo).doc

目錄跨三層mac地址綁定的配置方法1本文說明1跨三層mac地址綁定原理1跨三層mac地址綁定的配置步驟2步驟一：配置三層交換機(jī)的SNMP選項(xiàng)2步驟二：配置AC設(shè)備的SNMP項(xiàng)2步驟三：對(duì)內(nèi)網(wǎng)用戶認(rèn)證啟用mac地址綁定4跨三層mac地址綁定的高級(jí)應(yīng)用5跨三層mac地址綁定的配置方法本文說明 AC1.96版本開始，支持在跨三層環(huán)境下，對(duì)內(nèi)網(wǎng)用戶單獨(dú)綁定mac地址。AC1.96之前的版本是不支持該功能的，因?yàn)樵诳缛龑咏粨Q機(jī)的環(huán)境下，數(shù)據(jù)經(jīng)過三層交換機(jī)后源mac地址都會(huì)轉(zhuǎn)變成三層交換機(jī)的mac，這樣會(huì)導(dǎo)致AC設(shè)備無法識(shí)別內(nèi)網(wǎng)電腦的真實(shí)mac地址，從而導(dǎo)致啟用綁定mac后的認(rèn)證失敗。針對(duì)這個(gè)情況，1.96做了改善，通過AC設(shè)備直接到三層交換機(jī)上通過SNMP協(xié)議定期獲取用戶端的真實(shí)mac來解決這個(gè)問題，下文將詳細(xì)介紹如何配置使用這個(gè)功能?？缛龑觤ac地址綁定原理在有三層交換機(jī)的網(wǎng)絡(luò)環(huán)境下（如下圖），內(nèi)網(wǎng)用戶采用綁定mac地址的認(rèn)證方式來上網(wǎng)。此時(shí)，AC1.96版本，對(duì)客戶端mac地址的效驗(yàn)是依靠snmp協(xié)議來實(shí)現(xiàn)的。過程如下：前提條件：在設(shè)備上以及三層交換機(jī)上都配置了snmp的相關(guān)項(xiàng)。1、 AC設(shè)備作為snmp客戶端，會(huì)定期向三層交換機(jī)的udp 161端口發(fā)送獲取其MAC地址表的請(qǐng)求信息。2、 三層交換機(jī)作為snmp服務(wù)器端，當(dāng)收到來自AC的請(qǐng)求后，會(huì)將自己的MAC地址表回復(fù)給AC設(shè)備。3、 設(shè)備會(huì)將由三層交換機(jī)上獲得的MAC地址表內(nèi)容，同內(nèi)網(wǎng)綁定mac認(rèn)證的用戶此時(shí)的ip地址和以及其綁定的mac地址與作比較。如果MAC地址信息跟設(shè)備上綁定的信息一致，則該用戶認(rèn)證成功。如果MAC地址信息不一致，則該用戶認(rèn)證失敗?？缛龑觤ac地址綁定的配置步驟 下文將以內(nèi)網(wǎng)中只有一臺(tái)三層交換機(jī)的情況為例，介紹在有單臺(tái)三層交換機(jī)的環(huán)境下（如下圖），內(nèi)網(wǎng)用戶mac地址綁定的配置方法。步驟一：配置三層交換機(jī)的SNMP選項(xiàng)。步驟二：配置AC設(shè)備的SNMP項(xiàng)。步驟三：對(duì)內(nèi)網(wǎng)用戶認(rèn)證啟用mac地址綁定。步驟一：配置三層交換機(jī)的SNMP選項(xiàng) 不同的用戶使用的三層交換機(jī)不同，以下列出的是華為跟思科的三層交換機(jī)的SNMP選項(xiàng)的配置方法，如果用戶的三層交換機(jī)本身就已經(jīng)支持并使用了snmp協(xié)議則無需配置。主要需要獲取的是三層交換機(jī)的Community的值。華為交換機(jī)的配置命令：system_viewsnmp-agent community read public； 其中public為三層交換機(jī)的Communitysnmp-agent sys-info version all； 其中all表示所有版本思科交換機(jī)的配置命令：先要查看思科端口IP多少，然后通過深信服連接config terminal 進(jìn)入全局配置狀態(tài)Cdp run 啟用CDPsnmp-server community public ro 其中public為三層交換機(jī)的Community（必須先設(shè)置public，以后可以改）snmp-server enable traps 允許設(shè)備將所有類型SNMP Trap發(fā)送出去注意事項(xiàng)：三層交換機(jī)需要支持SNMP協(xié)議的v2c-v3版本，否則不支持跨三層的mac地址綁定。步驟二：配置AC設(shè)備的SNMP項(xiàng) 在【上網(wǎng)行為管理】-【認(rèn)證選項(xiàng)設(shè)置】中，SNMP選項(xiàng)設(shè)置里可以看到設(shè)備中跟SNMP相關(guān)的各項(xiàng)配置，如下圖。AC設(shè)備中的SNMP配置：1、配置SNMP服務(wù)器列表：要求每行填入一個(gè)三層交換機(jī)的IP、MAC、Oid和Community。 格式要求：IP/MAC/Oid/Community。格式說明：IP和MAC為三層交換機(jī)離設(shè)備最近的接口的ip和mac地址； Oid一般填寫：1.3.6.1.2.1.3.1.1.2或者1.3.6.1.2.1.4.22.1.2即可； Community是步驟一中配置或獲取的Community的值。 如實(shí)例圖中配置可知，192.200.200.1和00-01-04-61-b4-13是三層交換機(jī)跟設(shè)備相接的接口的ip和mac地址，1.3.6.1.2.1.3.1.1.2是Oid，public是Community值。2、啟用SNMP協(xié)議：如上圖，點(diǎn)擊【SNMP選項(xiàng)設(shè)置】中的啟用，然后點(diǎn)擊頁面下方的確認(rèn)。其他配置內(nèi)容的說明： 【訪問SNMP服務(wù)器超時(shí)設(shè)置】這個(gè)是用于配置設(shè)備跟三層交換機(jī)通信過程中，多久沒獲得三層交換機(jī)的回應(yīng)就會(huì)超時(shí)告警。 【訪問SNMP服務(wù)器時(shí)間間隔】這個(gè)是用于配置設(shè)備多久會(huì)去三層交換機(jī)上取一次內(nèi)網(wǎng)用戶的mac地址表。 以上兩個(gè)參數(shù)建議保持默認(rèn)值即可。步驟三：對(duì)內(nèi)網(wǎng)用戶認(rèn)證啟用mac地址綁定對(duì)內(nèi)網(wǎng)用戶認(rèn)證啟用mac地址綁定分為兩種情況：情況一：如果是剛上架的設(shè)備，內(nèi)網(wǎng)用戶都還沒有配置，可以直接在新用戶認(rèn)證的時(shí)候，就啟用綁定mac地址的認(rèn)證。配置方法：在【上網(wǎng)行為管理】-【認(rèn)證選項(xiàng)設(shè)置】-【新用戶認(rèn)證】中，新增策略，或者修改默認(rèn)策略的用戶認(rèn)證方式為綁定MAC或綁定IPMAC，如下圖。其他項(xiàng)的配置根據(jù)客戶的具體需求來配置即可。 注意事項(xiàng)：配置這一步之前一定要先配置SNMP的相關(guān)項(xiàng)，否則會(huì)導(dǎo)致內(nèi)網(wǎng)用戶錯(cuò)誤綁定了三層交換機(jī)的MAC后，內(nèi)網(wǎng)其他電腦都無法上網(wǎng)！情況二：如果設(shè)備的用戶列表中已經(jīng)設(shè)置此用戶了，則直接編輯用戶，修改用戶的認(rèn)證方式為mac綁定或IPMAC綁定，并填入用戶的真實(shí)mac地址即可。如下圖，直接編輯用戶192.200.200.103，修改該用戶的綁定方式為綁定mac。注意事項(xiàng)：此處界面上的掃描MAC地址是設(shè)備本身通過netbios協(xié)議去掃描的，而不是依靠的snmp協(xié)議去三層交換機(jī)上獲取，所以此處的掃描需要內(nèi)網(wǎng)計(jì)算機(jī)本身支持并啟用了該協(xié)議，且三層交換機(jī)沒有對(duì)netbios協(xié)議做限制。跨三層mac地址綁定的高級(jí)應(yīng)用上文主要介紹了內(nèi)網(wǎng)只有一臺(tái)三層交換機(jī)的情況下如何配置，下文將介紹內(nèi)網(wǎng)有多臺(tái)交換機(jī)的情況下，如何進(jìn)行配置。如上圖，實(shí)例中內(nèi)網(wǎng)存在3臺(tái)三層交換機(jī)，其中一臺(tái)為核心交換機(jī)，另外兩臺(tái)分別為三層交換機(jī)A跟B，跨三層mac地址綁定的配置方法跟上文所屬的步驟一致，需要注意的是：1 三層交換機(jī)A和B都必須支持并啟用SNMP協(xié)議（版本為v2或v3），并且配置或獲得其SNMP的community的值。核心交換機(jī)不要求一定能支持SNMP，但是設(shè)置SNMP選項(xiàng)時(shí)必須要把核心交換機(jī)的IP、MAC填寫進(jìn)去，在不支持SNMP時(shí)，oid和community可以隨便設(shè)置。2 在設(shè)備上配置SNMP項(xiàng)時(shí)，需要把3臺(tái)交換機(jī)的SNMP項(xiàng)都完整配置好，如下圖。由上圖可知：第一行中，192.168.0.1和00-65-51-b2-04-16是核心三層交換機(jī)跟設(shè)備相接的接口的ip和mac地址，1.3.6.1.2.1.3.1.1.2是Oid，public是Community值。第二行中，192.168.1.1和00-65-51-b1-03-22是三層交換機(jī)A離設(shè)備最近的接口的ip