- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
28-跨三層MAC學習配置
本章節下載: 28-跨三層MAC學習配置 (337.11 KB)
跨三層MAC學習功能是指當設備和終端(如PC)之間有三層網絡設備時,設備仍然可以通過SNMP協議學習到終端的MAC地址。
當終端采用動態IP地址訪問網絡時,使用IP地址作為過濾條件已經無法實現對網絡流量的準確匹配和控製,此時需要使用MAC地址作為策略的過濾條件。但是在跨三層網絡設備的組網環境中,設備無法直接獲取終端的MAC地址,使用跨三層MAC學習功能可以解決此問題。
跨三層MAC學習功能的工作原理如下圖所示:
圖1-1 跨三層MAC學習流程圖
跨三層MAC學習具體流程如下:
(1) 網關學習終端的IP-MAC映射關係,生成ARP表項;
(2) 設備定期向網關發送SNMP請求報文,獲取其所有ARP表項;
(3) 網關響應SNMP請求報文,返回ARP表項;
(4) 設備收到ARP表項後將其保存在內存中,最終學習到終端的MAC地址。
從三層設備學習到的ARP表項可通過如下方式老化:
· 根據表項老化時間老化。當表項的老化時間達到後,表項會被刪除。
· 通過執行reset snmp-server arp-sync table命令來清除學習到的ARP表項。
· 此功能學習到的MAC地址可作如下用途:
¡ 作為策略匹配報文的過濾條件。
¡ 記錄到IPS日誌中的真實源/目的MAC地址字段。
· 此功能目前僅支持學習IPv4地址映射的MAC地址。
· 在使用此功能時,設備與目標三層設備之間不能跨越NAT。
· 此功能不支持在VPN實例網絡環境中使用。
跨三層MAC學習配置任務如下:
(1) 開啟跨三層MAC學習功能
(2) 配置目標三層設備的主機信息
(3) (可選)配置同步MAC的參數
在配置跨三層MAC學習功能之前,需要保證組網中與設備對接的三層設備已開啟SNMP Agent服務,且配置團體名。有關SNMP的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
開啟此功能後,設備將作為NMS(Network Management System,網絡管理係統)端,通過SNMP協議學習目標網絡設備(Agent端)上的所有ARP表項信息,從而得到跨三層網絡終端的MAC地址。
(1) 進入係統視圖。
system-view
(2) 開啟通過SNMP協議同步目標設備ARP表項功能。
snmp-server arp-sync enable
缺省情況下,通過SNMP協議同步目標設備ARP表項功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 配置通過SNMP協議獲取ARP表項的三層網絡設備的主機信息。
(SNMP v2c版本)
snmp-server arp-sync target-host address ip-address community { simple | cipher } community-name v2c
(SNMP v3版本)
snmp-server arp-sync target-host address ip-address usm-user v3 user-name [ { simple | cipher } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | des56 } pri-password ] ]
缺省情況下,未配置通過SNMP協議獲取ARP表項的三層網絡設備的主機信息。
設備將根據請求時間間隔周期性的向目標三層設備發送SNMP請求報文同步ARP表項。在一個請求周期內,若在超時時間內設備未收到SNMP響應報文,將再次發送SNMP請求。
(1) 進入係統視圖。
system-view
(2) 配置通過SNMP協議同步ARP表項的同步參數。
snmp-server arp-sync { interval interval | timeout time } *
缺省情況下,通過SNMP協議同步ARP表項的請求時間間隔為5秒,請求超時時間為3秒。
在完成上述配置後,在任意視圖下執行display命令可以顯示跨三層MAC學習的相關信息,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除跨三層MAC學習的統計信息。
表1-1 跨三層MAC學習顯示和維護
|
操作 |
命令 |
|
顯示通過SNMP協議同步的ARP表項 |
display snmp-server arp-sync table |
|
清除通過SNMP協議同步到的ARP表項 |
reset snmp-server arp-sync table |
· 某公司內網主機經過三層網關設備與Device連接,並通過Device與外網相連。
· 公司內網主機的IP地址動態分配,公司僅允許Host A(MAC:00e0-0000-0001)和Host B(MAC:00e0-0000-0002)訪問外網,其餘主機不允許訪問外網。
圖1-2 跨三層MAC學習基礎配置組網圖
(1) 配置接口IP地址、路由從而保證網絡路由可達,具體配置步驟略。
(2) 在Gateway上配置SNMP Agent支持SNMPv2本、隻讀團體名為public,以明文方式配置團體名並以密文方式保存到配置文件中。
<Gateway> system-view
[Gateway] snmp-agent sys-info version v2c
[Gateway] snmp-agent community read simple public
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 2.2.2.2 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到Internet下一跳IP地址為3.3.3.1,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 1.1.1.0 24 2.2.2.1
[Device] ip route-static 0.0.0.0 0 3.3.3.1
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名稱為rule1的安全策略規則,僅允許Device訪問Gateway,以便Device可以學習Gateway上的ARP表項,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name rule1
[Device-security-policy-ip-0-rule1] source-zone local
[Device-security-policy-ip-0-rule1] destination-zone trust
[Device-security-policy-ip-0-rule1] source-ip-host 2.2.2.2
[Device-security-policy-ip-0-rule1] destination-ip-host 2.2.2.1
[Device-security-policy-ip-0-rule1] action pass
[Device-security-policy-ip-0-rule1] quit
# 配置名稱為rule2的安全策略規則,僅允許內網中的Host A和Host B訪問外網,具體配置步驟如下。
[Device-security-policy-ip] rule name rule2
[Device-security-policy-ip-1-rule2] source-zone trust
[Device-security-policy-ip-1-rule2] destination-zone untrust
[Device-security-policy-ip-1-rule2] source-mac groupmac
[Device-security-policy-ip-1-rule2] action pass
[Device-security-policy-ip-1-rule2] quit
# 激活安全策略規則的加速功能,具體配置步驟如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(5) 配置跨三層MAC學習相關功能
# 開啟通過SNMP協議同步ARP表項功能,配置Device從目標三層網絡設備獲取ARP表項,具體配置步驟如下。
[Device] snmp-server arp-sync enable
[Device] snmp-server arp-sync target-host address 2.2.2.1 community simple public v2c
[Device] snmp-server arp-sync interval 10 timeout 4
(6) 創建MAC地址對象組,將允許通過的主機的MAC地址加入此對象組
# 創建名稱為groupmac的MAC地址對象組,創建MAC地址對象00e0-0000-0001和00e0-0000-0002,具體配置步驟如下。
[Device] object-group mac-address groupmac
[Device-obj-grp-mac-groupmac] mac 00e0-0000-0001
[Device-obj-grp-mac-groupmac] mac 00e0-0000-0002
[Device-obj-grp-mac-groupmac] quit
(1) 配置完成後,Device通過跨三層MAC學習功能獲取到的ARP表項如下所示。
# 顯示通過SNMP協議同步的ARP表項。
[Device] display snmp-server arp-sync table
IP Address MAC Address Aging(M)
1.1.1.1 00e0-0000-0001 1
1.1.1.2 00e0-0000-0002 1
1.1.1.3 00e0-0000-0003 1
Total:3
(2) 配置完成後,內網中的Host A和Host B可以訪問外網,Host C不能訪問外網。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
