防火墙mac地址对象组做安全策略不能用

防火墙的策略是基于五元组的，而五元组里就没有匹配MAC这一说

透明部署引用mac地址对象组是没用的，除非你通过snmp配置跨三层的mac学习，这样防火墙才能知道ip和mac的映射关系，进而根据ip去匹配安全策略。

跨三层MAC学习功能是指当设备和终端（如PC）之间有三层网络设备时，设备仍然可以通过SNMP协议学习到终端的MAC地址。

1.1.1  应用场景

当终端采用动态IP地址访问网络时，使用IP地址作为过滤条件已经无法实现对网络流量的准确匹配和控制，此时需要使用MAC地址作为策略的过滤条件。但是在跨三层网络设备的组网环境中，设备无法直接获取终端的MAC地址，使用跨三层MAC学习功能可以解决此问题。

1.1.2  工作原理

跨三层MAC学习功能的工作原理如下图所示：

图1-1 跨三层MAC学习流程图

跨三层MAC学习具体流程如下：

(1)      网关学习终端的IP-MAC映射关系，生成ARP表项；

(2)      设备定期向网关发送SNMP请求报文，获取其所有ARP表项；

(3)      网关响应SNMP请求报文，返回ARP表项；

(4)      设备收到ARP表项后将其保存在内存中，最终学习到终端的MAC地址。

1.1.3  表项老化

从三层设备学习到的ARP表项可通过如下方式老化：

·              根据表项老化时间老化。当表项的老化时间达到后，表项会被删除。

·              通过执行reset snmp-server arp-sync table命令来清除学习到的ARP表项。