ACG1000行为管理

行为管理全局白名单只能添加IP地址的原因在于，ACG1000设备在跨三层组网中，透明部署在核心交换与出口设备之间时，通过SNMP协议跨三层读取的核心arp表获得的是终端的IP地址对应的MAC地址，而非终端本身的MAC地址。因此，配置全局白名单时，针对MAC地址不生效，而配置为IP地址则会生效，即不受策略限制。这是因为会话中三层访问的源MAC为核心三层互联口MAC，而非终端MAC，导致基于MAC的白名单配置无法正确识别和放行终端流量。 解决这一问题的方法有两种： 1. 修改为二层组网，这样设备可以直接获取终端的MAC地址，从而通过MAC白名单进行放行。 2. 保持现有组网，通过为终端MAC分配固定IP地址，确保基于IP地址的白名单配置能够生效，从而实现放行。