13-跨三层MAC学习配置
本章节下载: 13-跨三层MAC学习配置 (324.52 KB)
跨三层MAC学习功能是指当设备和终端(如PC)之间有三层网络设备时,设备仍然可以通过SNMP协议学习到终端的MAC地址。
当终端采用动态IP地址访问网络时,使用IP地址作为过滤条件已经无法实现对网络流量的准确匹配和控制,此时需要使用MAC地址作为策略的过滤条件。但是在跨三层网络设备的组网环境中,设备无法直接获取终端的MAC地址,使用跨三层MAC学习功能可以解决此问题。
跨三层MAC学习功能的工作原理如下图所示:
图1-1 跨三层MAC学习流程图
跨三层MAC学习具体流程如下:
(1) 网关学习终端的IP-MAC映射关系,生成ARP表项;
(2) 设备定期向网关发送SNMP请求报文,获取其所有ARP表项;
(3) 网关响应SNMP请求报文,返回ARP表项;
(4) 设备收到ARP表项后将其保存在内存中,最终学习到终端的MAC地址。
从三层设备学习到的ARP表项可通过如下方式老化:
· 根据表项老化时间老化。当表项的老化时间达到后,表项会被删除。
· 通过执行reset snmp-server arp-sync table命令来清除学习到的ARP表项。
· 此功能学习到的MAC地址可作如下用途:
¡ 作为策略匹配报文的过滤条件。
¡ 记录到IPS日志中的真实源/目的MAC地址字段。
· 此功能目前仅支持学习IPv4地址映射的MAC地址。
· 在使用此功能时,设备与目标三层设备之间不能跨越NAT。
· 此功能不支持在VPN实例网络环境中使用。
跨三层MAC学习配置任务如下:
(1) 开启跨三层MAC学习功能
(2) 配置目标三层设备的主机信息
(3) (可选)配置同步MAC的参数
在配置跨三层MAC学习功能之前,需要保证组网中与设备对接的三层设备已开启SNMP Agent服务,且配置团体名。有关SNMP的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
开启此功能后,设备将作为NMS(Network Management System,网络管理系统)端,通过SNMP协议学习目标网络设备(Agent端)上的所有ARP表项信息,从而得到跨三层网络终端的MAC地址。
(1) 进入系统视图。
system-view
(2) 开启通过SNMP协议同步目标设备ARP表项功能。
snmp-server arp-sync enable
缺省情况下,通过SNMP协议同步目标设备ARP表项功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 配置通过SNMP协议获取ARP表项的三层网络设备的主机信息。
(SNMP v2c版本)
snmp-server arp-sync target-host address ip-address community { simple | cipher } community-name v2c
(SNMP v3版本)
snmp-server arp-sync target-host address ip-address usm-user v3 user-name [ { simple | cipher } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | des56 } pri-password ] ]
缺省情况下,未配置通过SNMP协议获取ARP表项的三层网络设备的主机信息。
设备将根据请求时间间隔周期性的向目标三层设备发送SNMP请求报文同步ARP表项。在一个请求周期内,若在超时时间内设备未收到SNMP响应报文,将再次发送SNMP请求。
(1) 进入系统视图。
system-view
(2) 配置通过SNMP协议同步ARP表项的同步参数。
snmp-server arp-sync { interval interval | timeout time } *
缺省情况下,通过SNMP协议同步ARP表项的请求时间间隔为5秒,请求超时时间为3秒。
在完成上述配置后,在任意视图下执行display命令可以显示跨三层MAC学习的相关信息,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除跨三层MAC学习的统计信息。
表1-1 跨三层MAC学习显示和维护
操作 |
命令 |
显示通过SNMP协议同步的ARP表项 |
display snmp-server arp-sync table |
清除通过SNMP协议同步到的ARP表项 |
reset snmp-server arp-sync table |
· 某公司内网主机经过三层网关设备与Device连接,并通过Device与外网相连。
· 公司内网主机的IP地址动态分配,公司仅允许Host A(MAC:00e0-0000-0001)和Host B(MAC:00e0-0000-0002)访问外网,其余主机不允许访问外网。
图1-2 跨三层MAC学习基础配置组网图
(1) 配置接口IP地址、路由从而保证网络路由可达,具体配置步骤略。
(2) 在Gateway上配置SNMP Agent支持SNMPv2本、只读团体名为public,以明文方式配置团体名并以密文方式保存到配置文件中。
<Gateway> system-view
[Gateway] snmp-agent sys-info version v2c
[Gateway] snmp-agent community read simple public
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/2/5/1
[Device-GigabitEthernet1/2/5/1] ip address 2.2.2.2 255.255.255.0
[Device-GigabitEthernet1/2/5/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到Internet下一跳IP地址为3.3.3.1,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 1.1.1.0 24 2.2.2.1
[Device] ip route-static 0.0.0.0 0 3.3.3.1
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/2/5/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/2/5/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名称为rule1的安全策略规则,仅允许Device访问Gateway,以便Device可以学习Gateway上的ARP表项,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name rule1
[Device-security-policy-ip-0-rule1] source-zone local
[Device-security-policy-ip-0-rule1] destination-zone trust
[Device-security-policy-ip-0-rule1] source-ip-host 2.2.2.2
[Device-security-policy-ip-0-rule1] destination-ip-host 2.2.2.1
[Device-security-policy-ip-0-rule1] action pass
[Device-security-policy-ip-0-rule1] quit
# 配置名称为rule2的安全策略规则,仅允许内网中的Host A和Host B访问外网,具体配置步骤如下。
[Device-security-policy-ip] rule name rule2
[Device-security-policy-ip-1-rule2] source-zone trust
[Device-security-policy-ip-1-rule2] destination-zone untrust
[Device-security-policy-ip-1-rule2] source-mac groupmac
[Device-security-policy-ip-1-rule2] action pass
[Device-security-policy-ip-1-rule2] quit
# 激活安全策略规则的加速功能,具体配置步骤如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(5) 配置跨三层MAC学习相关功能
# 开启通过SNMP协议同步ARP表项功能,配置Device从目标三层网络设备获取ARP表项,具体配置步骤如下。
[Device] snmp-server arp-sync enable
[Device] snmp-server arp-sync target-host address 2.2.2.1 community simple public v2c
[Device] snmp-server arp-sync interval 10 timeout 4
(6) 创建MAC地址对象组,将允许通过的主机的MAC地址加入此对象组
# 创建名称为groupmac的MAC地址对象组,创建MAC地址对象00e0-0000-0001和00e0-0000-0002,具体配置步骤如下。
[Device] object-group mac-address groupmac
[Device-obj-grp-mac-groupmac] mac 00e0-0000-0001
[Device-obj-grp-mac-groupmac] mac 00e0-0000-0002
[Device-obj-grp-mac-groupmac] quit
(1) 配置完成后,Device通过跨三层MAC学习功能获取到的ARP表项如下所示。
# 显示通过SNMP协议同步的ARP表项。
[Device] display snmp-server arp-sync table
IP Address MAC Address Aging(M)
1.1.1.1 00e0-0000-0001 1
1.1.1.2 00e0-0000-0002 1
1.1.1.3 00e0-0000-0003 1
Total:3
(2) 配置完成后,内网中的Host A和Host B可以访问外网,Host C不能访问外网。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!