跨三层取MAC排错思路

跨三层取MAC排错思路

背景描述

用户测试防火墙，需要替换原有出口防火墙，由于历史原因导致网络改造没有完全，办公网属于192.168.1.0/24网段，网关指向核心交换机192.168.1.254，核心交换机配置默认路由指向出口防火墙192.168.1.1；客户要求做内网管控，仅有手动录入IP/MAC绑定信息的终端允许出网（其他安全需求不做展开）。

需求分析及配置

针对当前的网络环境，决定提前导入用户绑定关系，新建认证策略勾选【不允许新用户认证】

一开始认为防火墙和终端处于同一网段，不用配置跨三层取MAC，并且在新增用户界面【扫描MAC地址】可以查询到用户真实MAC；但是发现绑定策略没有生效；于是联系交换机工程师给核心开了snmp，手动填写了对接信息。

排查过程

完成以上配置之后发现绑定策略依然没有效果，所以严重怀疑是snmp相关部分没有配置好；首先使用工具【BPSNMPUtil】来查看交换机的OID值（初步怀疑网上查询的结果不正确），然而这款工具并不适用于所有交换机，查询没有结果。

随后联系了锐捷交换机的400，提供了交换机show version结果后发来了正确的OID值。

这里贴一下当时交换机的实际版本和对应OID，这个交换机版本比较老，希望对一线兄弟有所帮助：

RGos 10.3(4b3)

1.3.6.1.4.1.4881.1.1.10.2.2.1.1.1.2

至此基本确认防火墙配置没有问题了，但是绑定依然没有效果，于是在防火墙接口抓包看一下snmp数据包的情况，发现只有防火墙的snmp的请求，交换机没有回包。

最后只能怀疑交换机配置有误，show service看了下[snmp-agnet：disable]，果然snmp没有启动，没有注意到随手敲的[snmp-agent enable]实际已经报错，当前交换机版本没有这个命令；再次求助了锐捷400，表示开启snmp需要使用[enable service snmp-agent]；再次抓包可以看到交换机已经正常回包了。

问题总结

1、 当前拓扑比较特殊，虽然内网终端和防火墙是同一网段，但是实际需要经过核心交换机路由转发，所以也属于跨三层环境；

2、 新增SNMP服务器功能如果交换机团体名不是public则无法直接搜索到，需要手动添加snmp服务器信息；

1、 验证snmp配置是否生效可以通过抓包来看，如果对端交换机没有回包则配置有误。

2、 用户界面的扫描MAC功能是防火墙使用UDP 137端口的NetBIOS协议报文读取内网PC的MAC地址，和跨三层取MAC没有关系。

图文结合，多谢分享，有助于工作。

感谢大佬分享经验，学习了！！！！！！！！！！！！！！

每天学习一点点，每天进步一点点

截止目前深信服安全设备不支持跨三层取ipv6的mac地址