acg1000配置完用户同步后仍然显示一个mac地址,看同步状态正常,同步表里也是不同的mac,数据中心里看用户还是同一个mac地址
(0)
最佳答案
跨三层了,配置下snmp同步下mac就可以:
SNMP同步主要是设备通过SNMP协议学习三层交换机上的ARP表,获得内网PC的IP和MAC对应关系,设备会通过SNMP报文去请求交换机上记录ARP表的mib节点来获取到其上面的IP与MAC的对应关系,然后根据配置选择是否自动录入到相应的用户组或者通过同步结果手工执行录入到用户组或IP-MAC绑定.。
l 交换机上已开启SNMP代理功能。
l 设备与交换机网络可达。
l 设备上配置的团体字与交换机团体字一致。
(1) 配置SNMP同步
在导航栏中选择“用户管理>用户管理>用户同步”,单击<新建>按钮,选择<SNMP同步> 进入SNMP同步配置界面,如图1-22所示;SNMP同步详细参数如表1-9所示。
图1-22 SNMP同步配置界面
表1-9 SNMP同步界面参数说明
参数 | 说明 |
启用 | SNMP同步功能启用、禁用。 |
名称 | SNMP同步条目名称。1~63字符。 |
描述 | SNMP同步描述信息。 |
IP地址 | 交换机ip地址,需要与设备互通。 |
MAC地址 | 与设备相连的交换机接口的IP/MAC地址。 |
团体名 | 交换机启用SNMP功能所配置的团体字。团体(community)是SNMP服务器上的基本安全机制,类似于密码,用于对访问SNMP服务器的用户进行验证。 |
版本号 | 交换机SNMP版本号,支持V1、V2和V3。 |
任务周期 | 启用后按照所配置的时间进行SNMP用户同步。 |
自动录入 | 启用后同步用户录入设备可选指定用户组录入用户,不启用只同步不录入。 |
录入方式 | 默认录入:以IP地址作为录入名,绑定IP地址及MAC地址; IP录入:以IP地址作为录入名,只绑定IP地址; MAC录入:以MAC地址作为录入名,只绑定MAC地址。 |
IPMAC自动绑定 | 启用后,设备自动把第一次学到的IP/MAC进行唯一性绑定,无需手工绑定。 |
创建完成后,在用户同步页签右侧“操作”列下点击 图标立即执行SNMP同步任务,或点击
图标查看同步结果。如果同步的用户信息中IP、MAC地址匹配到IP-MAC绑定中的条目,状态栏下会展示“已绑定”,否则会展示“未绑定”。有关IP-MAC绑定的更多信息请参考IP-MAC绑定。
(2) 配置用户MAC敏感
SNMP同步场景下需要配合用户MAC敏感功能一起使用.
user mac-sensitive 命令用来配置用户识别是否对MAC变化保持敏感。
【命令】
user mac-sensitive{enable|disable}
【视图】
(config)#视图
【参数】
enable:开启用户MAC敏感,用户MAC发生变化后会被踢下线重新识别。
disable:关闭用户MAC敏感。
【使用指导】
用户MAC敏感命令是配合SNMP跨三层学习MAC功能一起使用的,默认情况下为disable状态,即用户MAC发生变化后用户不会被踢下线;在跨三层环境下由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化,开启MAC敏感以将用户踢下线,重新进行识别,以便重新关联用户。
说明:跨三层环境下,用户上线时MAC识别为匿名用户,MAC 地址为下联三层设备的接口MAC1,用户静态绑定条目为(user2 MAC2),当开启跨三层学习后,正常获取到用户的真实MAC2,如果用户MAC敏感为关闭状态,用户不会重新识别会导致无法关联上静态绑定用户,在线用户仍然会显示匿名用户,就会导致所有引用了账号user2的策略均不生效。
【举例】
# 配置用户MAC敏感
Host(config)# user mac-sensitive enable 开启用户MAC敏感
Host (config)# user mac-sensitive disable 关闭用户MAC敏感
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论