跨三层MAC学习典型配置举例

本文档介绍通过Web页面进行配置跨三层MAC学习的典型配置举例。

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解跨三层MAC学习特性。

组网需求

如图-1所示，公司网络环境中Host用户使用Gateway作为网关，并通过Device与外网相连。网络管理员仅允许Host A（MAC：5c-07-1c-cd-02-06）和Host B（MAC：5c-07-22-3b-03-06）访问外网，其余主机不允许访问外网。

图-1 配置组网图

使用版本

本举例是在F1060的F9345版本上进行配置和验证的。

配置步骤

Gateway网关的配置

1.     配置接口IP地址、路由从而保证网络路由可达，具体配置步骤略

2.     配置SNMP Agent支持SNMPv2版本、只读团体名为public，以明文方式配置团体名并以密文方式保存到配置文件中。具体配置请参见对应网关设备的SNMP配置

Device 的配置

1.     配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/3右侧的<编辑>按钮，配置如下。

·     安全域：Trust

·     选择“IPv4地址”页签，配置IP地址/掩码长度：2.2.2.2/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/4，配置如下。

·     添加到安全域：Untrust

·     IP地址/掩码长度：3.3.3.3/24

·     其他配置项使用缺省值

2.     配置路由

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

·     目的IP地址：1.1.1.0

·     掩码长度：24

·     下一跳IP地址：2.2.2.1

·     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

3.     新建三层设备

# 选择“系统 > 维护 > 跨三层MAC学习 > 三层设备访问设置”，进入配置页面。

# 开启跨三层MAC地址学习功能，并根据实际组网要求配置SNMP的请求时间间隔与响应超时时间。

# 单击<应用>按钮，完成开启跨三层MAC地址学习功能及相关配置下发。

# 单击<新建>按钮，新建获取ARP表项的目标三层设备IP地址和SNMP团体名，具体配置如下图所示。

图-2 新建三层设备

# 单击<确定>按钮，完成新建三层设备的配置。

4.     创建MAC地址对象组groupmac，将允许通过的主机Host A与Host B的MAC地址加入MAC地址对象组

# 选择“对象 > 对象组 > MAC地址对象组”，单击<新建>按钮，进入新建MAC地址对象组页面，添加名为groupmac的内网地址对象组。

# 在新建MAC地址对象组页面中，单击<添加>按钮，进入添加对象页面，配置如下。

·     类型：MAC地址

·     MAC地址：5c-07-1c-cd-02-06

# 单击<确定>按钮，完成Host A的MAC地址添加。

# 在新建MAC地址对象组页面中，单击<添加>按钮，进入添加对象页面，配置如下。

·     类型：MAC地址。

·     MAC地址：5c-07-22-3b-03-06。

# 单击<确定>按钮，完成Host B的MAC地址添加。

# 单击<确定>按钮，完成MAC地址对象组的配置。

5.     配置Local域、IP地址对象组访问Trust域、IP地址对象组的安全策略，允许Device访问Gateway

# 选择“策略 > 安全策略 > 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。具体配置如下。

·     名称：policy1

·     源安全域：Local

·     目的安全域：Trust

·     动作：允许

·     源IPv4地址：2.2.2.0/24

·     目的IPv4地址：2.2.2.0/24

·     其他配置项保持缺省情况即可。

# 单击<确定>按钮，完成配置。

6.     配置Trust域、MAC地址对象组访问Untrust域的安全策略，允许Host A和Host B访问Internet

# 选择“策略 > 安全策略 > 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

·     名称：policy2

·     源安全域：Trust

·     目的安全域：Untrust

·     动作：允许

·     源IP/MAC地址：groupmac

·     其他配置项保持缺省情况即可。

# 单击<确定>按钮，完成配置。

验证配置

# 在Device设备上，选择“系统 > 维护 > 跨三层MAC学习 > MAC地址学习表”，查看设备学习到的MAC地址。

# 在Host A和Host B设备可以访问Internet，Host C不能访问Internet。