SecPath ACG1000-AK260 在线用户MAC地址重复

公网————防火墙————————————- acg————————————————核心———————————————接入交换机

                     F1000                                        ACG1000              

AC旁挂在核心上，还有套IMC做认证    

1、跨三层MAC学习也配过了

2、在线用户显示只有部分用户显示mac异常，所以是部分snmp同步除了问题

3、当配置从多台设备同步时，所有的 MAC地址指的都是ACG直连的三层设备的接口MAC，即都是同一个。抓包显示为60:db:15:72:ec:01，都调整为这个

4、MAC敏感也开启下   (config)# user mac-sensitive enable  开启用户MAC敏感 

开启mac敏感之后需要注销在线用户，触发再次认证，请协调客户注销在线用户。

H3C> enable

H3C# configure terminal

H3C(config)# user mac-sensitive enable

user mac-sensitive 命令用来配置用户识别是否对MAC变化保持敏感。

【命令】

user mac-sensitive｛enable｜disable｝

【视图】

(config)#视图

【参数】

enable：开启用户MAC敏感，用户MAC发生变化后会被踢下线重新识别。

disable：关闭用户MAC敏感。

【使用指导】

用户MAC敏感命令是配合SNMP跨三层学习MAC功能一起使用的，默认情况下为disable状态，即用户MAC发生变化后用户不会被踢下线；在跨三层环境下由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化，开启MAC敏感以将用户踢下线，重新进行识别，以便重新关联用户。

说明：跨三层环境下，用户上线时MAC识别为匿名用户，MAC 地址为下联三层设备的接口MAC1,用户静态绑定条目为（user2 MAC2），当开启跨三层学习后，正常获取到用户的真实MAC2,如果用户MAC敏感为关闭状态，用户不会重新识别会导致无法关联上静态绑定用户，在线用户仍然会显示匿名用户，就会导致所有引用了账号user2的策略均不生效。

【举例】

# 配置用户MAC敏感

(config)# user mac-sensitive enable 开启用户MAC敏感

(config)# user mac-sensitive disable 关闭用户MAC敏感