acg1000 只允许做了ip/mac地址绑定的用户访问外网

1、ACG1000跨三层IP-MAC绑定原理
      （1）在ACG上学习并绑定终端的IP+MAC的绑定关系：IP1+MAC1
      （2）终端与网关交互ARP报文，网关（三层交换机）记录ARP表项
      （3）ACG接收来自源为IP1数据包、且源MAC为ACG与网关互联端MAC3时：
           a.ACG检查从网关读取的当前动态ARP表，IP1对应MAC地址为MAC_X;
           b.将MAC_X与前述步骤（1）中的MAC1做比较，若MAC_X＝MAC1，报文可以转发，反之则丢弃报文

2、从现场信息来看问题出现在上述步骤中的（3）部分，仔细检查并核对配置发现“跨三层MAC学习”中“MAC地址”选项配置了acg1000直连核心的二层接口mac，而不是直连核心的三层接口mac，第（3）部分中acg1000是将收到的数据包的源mac和“跨三层MAC学习”中配置的“MAC地址”进行比对，由于现场配置成了核心直连二层接口的mac，实际数据包源mac肯定是核心直连三层接口的mac，这边比对肯定失败，所以报文直接被丢弃了

将“跨三层MAC学习”中“MAC地址”配置为ACG1000直连核心三层接口的mac地址

ACG1000的“跨三层MAC学习”功能配置参数要求：其中IP地址为网关地址，MAC地址为网关设备与ACG互联三层接口的MAC地址（若网关设备与ACG设备之间还有多跳，则为距ACG最近一跳设备的转发三层出接口MAC，亦即ACG指向绑定网段路由下一跳IP的MAC），团体名为SNMP只读团体名即可