用户在防火墙配置用户身份识别后,想对用户MAC地址进行控制。但是配置后发现策略不生效,测试更换电脑只要配置允许上网用户的IP地址就能上网,完全不能对用户MAC地址起到控制目的。
从现场配置看没有发现任何问题,如果是配置过后还能上网那么在安全策略上应该可以看出些端倪。但是奇怪的是安全策略根本没有显示用户的MAC?
%Dec 6 14:41:08:190 2018 H3C FILTER/6/FILTER_ZONE_IPV4_EXECUTION: SrcZoneName(1025)=Trust;DstZoneName(1035)=Untrust;Type(1067)=ACL;SecurityPolicy(1072)=1;RuleID(1078)=0;Protocol(1001)=TCP;Application(1002)=http;SrcIPAddr(1003)=192.168.0.64;SrcPort(1004)=4062;DstIPAddr(1007)=119.188.66.81;DstPort(1008)=80;MatchCount(1069)=1;Event(1048)=Permit;
*Dec 6 14:41:08:190 2018 H3C FILTER/7/PACKET: The packet is permitted. Src-ZOne=Trust, Dst-ZOne=Untrust;If-In=Vlan-interface1(30), If-Out=GigabitEthernet1/0/1(2); Packet Info:Src-IP=192.168.0.64, Dst-IP=119.188.66.81, VPN-Instance=,Src-Port=4062, Dst-Port=80, Protocol=TCP(6), Application=http(31), SecurityPolicy=1, Rule-ID=0.
从版本手册中发现在D032版本以后安全策略才支持审计MAC地址,因此现场需要升级版本至D032版本,升级后安全策略可以匹配用户MAC问题解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作