×

USG6000 配置跨三层mac识别(web,命令行)

hqy hqy 发表于2020-07-22 18:16:27 浏览2452 评论0

抢沙发发表评论


USG6650配置跨三层mac识别,不支持web界面查看同步的arp表项,通过命令display snmp-server arp-sync table可以查看到同步的表项


配置跨三层MAC识别-Web

介绍如何通过Web完成跨三层MAC识别的配置。

前提条件

在配置NGFW跨三层MAC识别功能之前,需要保证组网中与NGFW对接的三层网络设备已开启SNMP Agent服务,已配置团体名且支持SNMP v2c版本。

背景信息

内网用户通过NGFW访问Internet,且NGFW需要以MAC地址为匹配条件来控制内网流量。如果NGFW通过三层网络设备与内网PC相连,无法直接获取到内网PCMAC地址。

NGFW可配置跨三层MAC地址识别功能,通过SNMP协议同步三层网络设备上的ARP表项,获取内网PCMAC地址。

http://localhost:7890/pages/DZD0429D/04/DZD0429D/04/resources/public_sys-resources/icon-note.gif 说明:

如果组网中的NGFW和内网PC之间存在多台三层网络设备,建议指定离内网PC最近的一台为SNMP服务器。NGFW支持指定多台三层网络设备为SNMP服务器来同步其ARP表项。

操作步骤

1.       选择系统 > 配置 > 跨三层MAC识别

2.       选择“跨三层MAC识别”右侧的“启用”,开启跨三层MAC识别功能。

3.       依次输入各项参数。

参数

描述

访问SNMP服务器时间间隔

两次发送SNMP请求报文的时间及间隔。

访问SNMP服务器超时时长

发送SNMP请求报文到目标网络设备后未收到SNMP响应报文的超时时长。具体取值可以依据实际网络中动态IP地址变换的时间间隔以及网络延时配置。

SNMP服务器1

需获取其ARP表项的目标三层网络设备的IP地址。

SNMP服务器的标号随着添加按顺序递增。

此参数需要从组网中已经存在的三层网络设备的IP地址中选择。

设备最多可以指定64台三层网络设备作SNMP服务器以同步其ARP表项。

每添加一台SNMP服务器,就要输入“IP地址“v2c”团体名两个参数。

v2c团体名

指的是SNMP服务器1的团体名。该团体名必须是指定三层网络设备上已配置的团体名,且和IP地址所标识的必须是同一台三层网络设备。

配置跨三层MAC识别-CLI

介绍如何通过命令行完成跨三层MAC识别的配置。

前提条件

在配置NGFW跨三层MAC识别功能之前,需要保证组网中与NGFW对接的三层网络设备已开启SNMP Agent服务,已配置团体名且支持SNMP v2c版本。

背景信息

内网用户通过NGFW访问Internet,且NGFW需要以MAC地址为匹配条件来控制内网流量。如果NGFW通过三层网络设备与内网PC相连,则无法直接获取到内网PCMAC地址。此时,需要开启NGFW的跨三层MAC识别功能,同步指定三层网络设备上的ARP表项以获取内网PCMAC地址。

http://localhost:7890/pages/DZD0429D/04/DZD0429D/04/resources/public_sys-resources/icon-note.gif 说明:

如果组网中的NGFW和内网PC之间存在多台三层网络设备,建议指定离内网PC最近的一台三层网络设备为目标网络设备。NGFW支持指定多台三层网络设备作SNMP客户端来获取其ARP表项。

NGFW跨三层MAC识别功能的相关命令行支持双机备份。

操作步骤

1.       在系统视图下,开启通过SNMP协议同步三层网络设备ARP表项功能。

snmp-server arp-syn enable

2.       配置通过SNMP协议获取其ARP表项的目标三层网络设备的IP地址和团体名。

snmp-server target-host arp-sync address ip-address vpn-instance vpn-instance-name community community-name v2c

其中,addresscommunity二者必须标识同一个三层网络设备。若在指定VPN实例中配置目标网络设备,则vpn-instanceaddresscommunity三者必须标识同一个三层网络设备。

http://localhost:7890/pages/DZD0429D/04/DZD0429D/04/resources/public_sys-resources/icon-note.gif 说明:

在跨三层MAC识别功能中,NGFW可指定组网中的多台三层网络设备作SNMP服务器以同步其ARP表项,设备最多可以指定64台三层网络设备作SNMP服务器以同步其ARP表项。

3.       配置通过SNMP协议同步ARP表项的请求时间间隔或请求超时时间。

snmp-server arp-sync interval interval timeout time *

请求超时时长timeout time的取值可以依据实际网络中PC的动态IP地址的刷新时间间隔以及网络延时配置。

任务示例

配置通过组网内某台三层网络设备学习内网PCMAC地址,所指定的三层网络设备的IP地址为10.10.90.7、团体名为Public@123

<NGFW> system-view
[NGFW] snmp-server arp-syn enable
[NGFW] snmp-server target-host arp-sync address 10.10.90.7 community Public@123 v2c
[NGFW] snmp-server arp-sync interval 10 timeout 5

后续处理

执行命令display snmp-server arp-sync table vpn-instance vpn-instance-name ],查看设备通过SNMP协议获取到的ARP表项。

<NGFW> display snmp-server arp-sync table
Synchronization status of the IP-MAC address mapping table: Done
The start time of synchronizing IP-MAC mapping table: 2013/8/2 09:39:24
The end time of synchronizing IP-MAC mapping table: 2013/8/2 09:39:28
-----------------------------------------------------------------------------------------------
IP Address         MAC Address       Expire(M)  VPN Instance
-----------------------------------------------------------------------------------------------
10.10.90.220       0022-a105-b948      20
10.10.90.33        0000-1111-0000      20

以上显示信息中已包含设备获取到的ARP表项。其中,Synchronization statusDone,表示设备已将目标网络设备的ARP表项同步完毕。



打赏

本文链接:https://www.kinber.cn/post/1457.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客