3  跨三层MAC地址学习功能配置举例

3.1.1  组网需求

如图1所示，某公司内网办公网段IP地址172.16.10.0/24，上联三层交换机，172.16.10.1/24为内网办公网的网关，ACG1000做为网关出口，下联三层交换机。ACG1000产品上开启跨三层MAC地址学习功能，读取三层交换机上的ARP表，获得内网所有PC的IP和MAC对应条目。

图1 跨三层MAC地址学习组网图

3.1.2  配置思路

·            开启跨三层MAC地址学习功能。

·            配置跨三层MAC地址学习功能。

3.1.3  使用版本

本举例是在R6608版本上进行配置和验证的。

3.1.4  配置步骤

(1)       开启跨三层MAC地址学习功能

如图2所示，进入系统管理 >SNMP>跨三层MAC地址学习，点击<全局配置>按钮开启跨三层MAC地址学习功能。

图2 开启跨三层MAC地址学习功能

(2)       配置跨三层MAC地址学习功能

如图3所示，进入系统管理>SNMP>跨三层MAC地址学习，点击<新建>按钮开启配置跨三层MAC地址学习功能。

图3 跨三层MAC地址学习功能配置

表1 跨三层mac地址学习配置项含义表

(3)       如图4所示，在跨三层MAC地址学习新建界面配置相关功能，点击<提交>。

图4   配置完成跨三层MAC地址学习相关功能

3.1.5  配置注意事项

·            默认情况下，跨三层MAC地址学习功能是关闭的。

·            ACG1000设备上配置的团体名与三层交换机上保持一致。

·            新建功能配置条目中的MAC地址是与ACG1000设备相连的交换机接口的MAC地址。

3.1.6  验证配置

1. 在IPMAC表页面查看学习到的MAC情况

如图5所示，在系统管理>SNMP>IPMAC表查看到的MAC情况，并可以进行IP-MAC绑定。

图5  IPMAC表页面

2. 在线用户管理页面查看用户mac地址

如图6所示，使用PC地址172.16.10.2访问外网，在在线用户管理页面上查看用户172.16.10.2的终端mac地址为PC真实的mac地址。

图6 开启跨三层MAC地址学习功能后在线用户管理页面查看用户mac地址

如图7所示，在未开启跨三层MAC地址学习功能时，使用PC地址172.16.10.2访问外网，在在线用户管理页面上查看用户172.16.10.2的终端mac地址为三层交换机的MAC地址并非PC真实的mac地址。

图7 未开启跨三层MAC地址学习功能在线用户管理页面查看用户mac地址

4  跨三层MAC地址学习功能使用限制及注意事项

·            新建跨三层MAC地址学习条目的mac地址是与设备相连的交换机的地址。

·            ACG1000设备配置的团体名需要跟交换机上的团体名一致，团体字中不能包含中文。

·            开启跨三层扫描及MAC-IP绑定后，交换机下的新用户IPMAC如果不能及时学习到，数据直接放通，在线用户列表中的MAC会显示成三层交换机的MAC。

·            在配置多个交换机时扫描开始后串行逐个扫描，待所有交换机扫描完毕后等待配置的更新时间后再开始下一轮扫描。

·            对于每次扫描结果如何处理：如果旧表中有对应mac，则更新老化时间，如果没有，则新增。对于旧表中有但没有新学习到的mac，等老化后删除。

·            跨三层MAC地址学习是分两步：

a.   snmp协议跟交换机交互报文，来学习IP/mac条目，并将IP/mac条目存到文件中（网络好时报文交互快，学的也快）。

b.   从文件中读IP/mac，进行新旧对比并更新老化时间。

·            正常情况下，全局开启跨三层扫描后启动老化定时器，30分钟执行一次老化，然后更新定时器的时间进行下一次老化，如果条目达到59000条，触发定时器快速老化（记录本次快速老化的时间），然后刷新定时器为30分钟；当再次达到59000条时，判断当前时间-上次快速老化时间〈10分钟，什么都不做；否则触发定时器快速老化（记录本次快速老化的时间），然后刷新定时器为30分钟。

·            快速老化机制：

a.   IPMAC表达到59000条时触发快速老化，将已经老化的IP/mac全清掉，规格满直接丢新的条目。

b.   两次快速老化的时间间隔是10分钟。