SINFOR_AC跨三层mac地址绑定配置指导

SANGFOR SG快速安装手册技术支持说明为了让您在安装，调试、配置、维护和学习SANGFOR设备时，能及时、快速、有效的获得技术支持服务，我们建议您：1.参考本快速安装手册图文指导，帮助你快速的完成部署、安装SANGFOR设备。

如果快速安装手册不能满足您的需要，您可以到SANGFOR技术论坛或官网获得电子版的完整版用户手册或者其他技术资料，以便你获得更详尽的信息。

2.致电您的产品销售商（合同签约商），寻求技术支持。

为了更快速的响应您的服务要求和保证服务质量，您所在地的SANGFOR的产品销售商配备有经过厂家认证的技术工程师，会向您提供快捷的电话咨询、远程调试及必要的上门技术服务。

3.在不紧急的情况下，您可以访问SANGFOR的技术论坛，寻求技术问题的解决方案和办法。

4.致电SANGFOR客服中心，确认最适合您的服务方式和服务提供方，客服中心会在您的技术问题得到解决后，帮助您获得有效的服务信息和服务途径，以便您在后续的产品使用和维护中最有效的享受技术支持服务，及时、有效的解决产品使用中的问题。

SANGFOR技术论坛：公司网址：技术支持服务热线：400-630-6430（手机、固话均可拨打）邮箱：support@目录技术支持说明 (1)目录 (2)声明 (3)前言 (4)第1章SG系列硬件设备的安装 (5)1.1环境要求 (5)1.2电源 (5)1.3产品接口说明 (5)1.4配置与管理 (6)1.5单设备接线方式 (8)1.6双机备份接线方式 (9)第2章SG系列硬件设备部署 (11)2.1路由模式 (12)2.1.1路由模式部署配置案例 (13)2.2网桥模式 (19)2.2.1网桥多网口 (19)2.2.2多网桥 (25)2.2.3DMZ口重定向 (32)2.3旁路模式 (37)2.3.1旁路模式部署配置案例 (38)2.4单臂模式 (43)2.4.1单臂模式部署配置案例 (43)2.5高可用性配置案例 (46)2.5.1多机同步 (46)2.5.2双机维护 (50)第3章基本功能配置 (55)3.1封堵P2P应用配置案例 (55)3.2审计用户上网行为配置案例 (59)3.3限制下载工具的网络流量配置案例 (61)3.4保证重要应用网络流量配置案例 (67)3.5上网加速配置案例 (73)3.6上网代理配置案例 (74)3.7防共享功能配置案例 (75)3.8无线管理配置案例 (78)3.8.1客户网络环境与需求 (78)3.8.2无线基本配置 (79)3.8.3配置开放式无线网络案例 (79)3.8.4配置企业级认证无线网络案例 (82)第4章密码安全风险提示 (86)4.1修改控制台登录密码 (86)声明Copyright©2015深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。

深信服Sinfor AC上网行为管理解决方案目录目录一、上网行为管理与企业竞争力 (3)二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统 (3)三、滨江远望公司网络现状及深信服解决方案 (4)深信服解决方案 (4)网络拓扑图1： (5)网络拓扑图2： (6)四、深信服AC上网行为管理功能介绍 (7)1，细致的访问控制功能，有效管理用户上网 (7)2，完善的内容过虑和访问审计功能，防止机密信息泄漏 (7)3，强大的数据报表中心，提供直观的上网数据统计 (7)4，强大的QOS及流量分析功能 (8)5，集成丰富的外网安全功能：包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等 (8)五、SINFOR AC安全网关主要技术优势 (8)1，深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件 (8)2，邮件的延迟审计（专利技术） (9)3，独有的网络访问准入规则（专利技术） (9)4，WEB认证技术 (9)5，高度集成，部署灵活 (9)6，模块化设计，性能强大 (9)六、成功典型案例 (10)附1：深信服上网行为管理功能一览表 (11)一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。

在IDC对全世界企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。

据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。

这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。

企业网作为一个开放的网络系统，运行状况愈来愈复杂。

企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这一切都是对企业网信息安全管理的挑战，这些问题包括：●IT管理员如何对企业网络效能行为进行统计、分析和评估？●IT管理员如何限制一些非工作上网行为和非正常上网行为（如色情网站），如何监控、控制和引导员工正确使用网络？●IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料？●IT管理员如何在万一发生问题时有一个证据或依据？二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具，同样面临着适当监控、合理使用的问题。

配置跨三层MAC识别的三个步骤！型号：AC-1900版本：AC-11.9R1网络简介：AC部署在出口设备和核心交换机之间，核心交换机是三层设备。

需求：客户想要实现MAC免认证。

要想实现MAC免认证，则AC必须读取到终端设备的MAC地址，在当前的网络结构中，AC某公司公司法获取终端设备的MAC，因此，想要实现MAC免认证，必须配置跨三层MAC识别。

一、交换机配置客户内网是一台DCWS-68某公司E的交换机，某公司公司法参照之前论坛提供的“某公司公司_AC_v11-CONF-06-08_跨三层MAC 识别配置指导.pdf”文档，依照经验配置，尝试多次，并联系神码客服，费了2个多小时，终于搞定了。

四条命令：snmp-server enablesnmp-server community ro 0 dcndcnsnmp-server securityip disablesnmp-server enable traps二、使用“BPSNMPUtil.exe”工具获取OID这个步骤不能省。

因为即使你交换机的配置没有问题，但你不知道交换机的OID，在AC上配置跨三层MAC识别也是某公司公司法获取终端MAC的。

AC的跨三层识别默认内置了OID，但经过测试，其OID是某公司公司设备的（华为设备没有验证）。

默认OID：如果你不能确定你设备的OID就是AC内置的，建议使用“BPSNMPUtil.exe”先进行OID的获取工作。

神码设备的OID：IP OID：1.3.6.1.2.1.4.22.1.3MAC OID：1.3.6.1.2.1.4.22.1.2此OID适用于神码设备的：DCRS-7604E、DCRS-68某公司E、DCRS-9816E三、AC配置某公司公司认证与管理--认证高级选项--跨三层取MAC--新增，然后填写第二步获取的OID和交换机地址信息。

最后在认证策略里配置密码认证，认证后处理动作勾选“自动录入绑定关系”、“绑定MAC”和“开启免认证”，实现MAC免认证。

华为三层交换机绑定IP和MAC地址基础命令//本⽂档主要介绍交换机地址绑定基本流程和⽤到的命令；//不记得命令可以输⼊？查看，或在⼀段命令中⽤‘TAB’键进⾏命令补全：如”user-b s mac-a 'TAB' //此处，将⾃动补全命令为user-b s mac-address；终端上telnet #交换机位置；输⼊登录ID和密码；su //进⼊ROOT权限；输⼊⼆级密码；dis mc-address #mac地址； //查看⽬标MAC地址与交换机对应情况{如回显GE /0/0/X 说明和交换机的x号端⼝相对应；如回显XGE /0/0/x 说明交换机和所在终端不是直通状态；如没有回显说明MAC地址错误或终端在关机状态；}#绑定地址需要确认端⼝开启了 anti attack 服务{输⼊命令：dis cur | beg #端⼝号；可以看到端⼝回显信息，也可以查询是否开启了 anti-attack ；如果条⽬不存在，输⼊以下命令；{integration ;are Anti-attack check user-bind enable; //开启 anti-attackdis cur | beg ; //再次查看端⼝信息确认}#确认服务开启后sys //进⼊配置界⾯；#如需要输出之前的绑定，可以输⼊undo user-b s ip-address #ip地址； //可以连带删除端⼝，MAC地址绑定，也可以输出mac-address #mac地址user-b s ip-address #ip地址 mac-address #mac地址； //指定ip地址和mac地址绑定，绑定类型可以端⼝，ip,mac⾃由组合quit； //退出配置界⾯save；保存设置。

深信服防火墙路由接口配置案例路由接口的典型应用环境是将SANGFOR NGAF 设备以路由模式部署在公网出口，代理内网上网，像一个路由器一样部署在网络中，如下图所示：配置案例：某用户网络是跨三层的环境，购买NGAF 设备打算部署在公网出口，代理内网用户上网，公网线路是光纤接入固定分配IP 的。

第一步：通过管理口(ETH0) 的默认IP 登录设备。

管理口的默认IP 是10.251.251.251/24 ，在计算机上配置一个相同网段的IP 地址，通过https://10.251.251.251 登录设备。

第二步：配置外网接口，通过『网络』→『接口/区域』，点击需要设置成外网接口的接口，如eth2，出现以下页面：接口[类型]选择路由。

[基本属性]可以设置是否为WAN 口和允许PING。

如果是WAN 口，是否与IPSEC VPN 出口线路匹配。

连接上行链路的接口需要勾选WAN 口。

[区域]选择接口eth2 所属的区域。

区域需要提前设置，本例将ETH2 划入WAN 区域，对于区域的设置请参考章节3.3.1.5 区域设置。

选择配置IPv4 地址：[连接类型]包括静态IP、DHCP、ADSL 拨号三种，根据该线路的特征进行配置，如果选择静态IP，需要填写好IP 地址/掩码以及下一跳网关；如果该接口是DHCP 自动获得地址，则设置DHCP；如果线路是ADSL 拨号，则配置好拨号所需的用户名、密码和其他拨号参数。

静态IP 地址可以填写成“IP/掩码”和“IP/掩码-HA”两种形式，后一种形式表示同步网口配置时，不同步IP 地址，“IP/掩码-HA”的形式适用于NGAF 设备双机部署的环境。

本案例中外网接口连接的是静态IP 的光纤线路，所以选择静态IP，并且配置ISP 提供给该光纤线路的公网IP 地址和下一跳网关。

[线路带宽]设置公网链路的上下行带宽。

点击可以修改带宽单位，包括KB/s，MB/s，GB/s。

[链路故障检测]用于检测链路的好坏。