在H3C防火墻與核心交換機(jī)之間橋接部署深信服上網(wǎng)行為管理設(shè)備時(shí)，設(shè)備工作在透明模式（二層橋接），默認(rèn)無(wú)法直接獲取三層設(shè)備的MAC地址。以下是實(shí)現(xiàn)三層MAC地址獲取的詳細(xì)方案：

一、網(wǎng)絡(luò)拓?fù)渑c需求分析

典型部署拓?fù)錇椋?br />`
互聯(lián)網(wǎng) → H3C防火墻（三層路由） → 深信服設(shè)備（透明橋接） → 核心交換機(jī)（三層網(wǎng)關(guān)）
`

核心問(wèn)題：
- 深信服設(shè)備工作在二層，只能看到直接相連設(shè)備的MAC地址
- 無(wú)法直接獲取防火墻后的終端真實(shí)MAC地址
- 影響基于MAC地址的審計(jì)、管控策略

二、解決方案

方案1：ARP代答技術(shù)（推薦）

1. 原理：

• 在H3C防火墻上開(kāi)啟ARP代理功能

• 當(dāng)深信服設(shè)備發(fā)送ARP請(qǐng)求時(shí)，防火墻代為響應(yīng)終端MAC

2. H3C防火墻配置：
`
interface GigabitEthernet 0/1 # 連接深信服的接口
arp-proxy enable # 啟用ARP代理
arp-proxy inner-sub-proxy enable # 啟用子網(wǎng)內(nèi)代理
`

1. 深信服設(shè)備配置：

• 登錄Web控制臺(tái)

• 進(jìn)入【網(wǎng)絡(luò)配置】→【部署模式】

• 啟用【跨三層MAC識(shí)別】功能

• 添加H3C防火墻的IP地址作為SNMP查詢點(diǎn)

方案2：SNMP跨三層MAC識(shí)別

1. 網(wǎng)絡(luò)設(shè)備準(zhǔn)備：

• 確保H3C防火墻和核心交換機(jī)開(kāi)啟SNMP服務(wù)

• 配置SNMP v2c或v3只讀社區(qū)名

2. H3C設(shè)備SNMP配置示例：
`
snmp-agent
snmp-agent community read public # 配置只讀社區(qū)名
snmp-agent sys-info version v2c # 使用v2c版本
snmp-agent target-host trap address udp-domain 192.168.1.100 params securityname public # 深信服設(shè)備IP
`

1. 深信服設(shè)備配置：

• 進(jìn)入【系統(tǒng)】→【網(wǎng)絡(luò)配置】→【跨三層MAC識(shí)別】

• 添加SNMP服務(wù)器：

• IP地址：H3C防火墻管理IP

• 端口：161（默認(rèn)）

• 社區(qū)名：與防火墻配置一致

• OID：使用默認(rèn)或根據(jù)設(shè)備型號(hào)選擇

方案3：端口鏡像輔助分析

1. 旁路部署鏡像：

• 在核心交換機(jī)上配置端口鏡像

• 將用戶所在VLAN的流量鏡像到深信服的監(jiān)聽(tīng)口

2. H3C交換機(jī)鏡像配置：
`
mirroring-group 1 remote-source # 創(chuàng)建遠(yuǎn)程鏡像組
mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 both # 源端口
mirroring-group 1 monitor-port GigabitEthernet 1/0/24 # 目的端口（接深信服）
`

三、配置驗(yàn)證與優(yōu)化

驗(yàn)證步驟：

1. 在深信服控制臺(tái)查看【實(shí)時(shí)狀態(tài)】→【在線用戶列表】
2. 確認(rèn)用戶信息中已顯示正確的MAC地址
3. 測(cè)試基于MAC地址的管控策略是否生效

性能優(yōu)化建議：

• 調(diào)整SNMP查詢間隔（建議30-60秒）
• 限制查詢的IP地址范圍
• 啟用MAC地址老化機(jī)制
• 定期清理無(wú)效MAC表項(xiàng)

四、故障排查

常見(jiàn)問(wèn)題及解決：

1. MAC地址顯示不全：

• 檢查防火墻ARP代理配置

• 驗(yàn)證SNMP連接狀態(tài)

1. 性能影響：

• 減少SNMP查詢頻率

• 考慮使用端口鏡像方案

1. 兼容性問(wèn)題：

• 確認(rèn)H3C設(shè)備型號(hào)支持的SNMP版本

• 聯(lián)系深信服技術(shù)支持獲取特定OID

五、安全注意事項(xiàng)

1. SNMP社區(qū)名使用強(qiáng)密碼
2. 限制SNMP訪問(wèn)IP（僅允許深信服設(shè)備）
3. 定期更新設(shè)備固件
4. 審計(jì)日志中監(jiān)控異常MAC獲取行為

通過(guò)以上方案，可在橋接模式下準(zhǔn)確獲取三層網(wǎng)絡(luò)的MAC地址，確保上網(wǎng)行為管理的完整性和準(zhǔn)確性。建議首選方案1（ARP代答）與方案2（SNMP）結(jié)合使用，實(shí)現(xiàn)最佳效果。