某局点ACG上网行为管理排查显示用户MAC异常问题

路由器部署在出口防火墙下方，内网网关部署在路由器的物理口上，通过在路由器上配置端口镜像，将内外网流量镜像给ACG进行审计。

路由器侧同时起了一个三层接口与管理交换机互联，管理网段10.1.1.0/24；

ACG侧0口用做接收镜像流量，1口用做纳管；

组网拓扑如：

ACG审计出来日志显示用户MAC为同一MAC地址，且为直连路由器G0/0物理口MAC地址;

审计日志显示同一MAC用户问题，可以理解为ACG与路由直连的二层网络和路由器作为网关和终端的二层网络是隔离的，因此终端的流量被路由器镜像时，由于从三层口镜像出去，源MAC替换成接口MAC，导致终端MAC地址被识别成路由器物理口MAC地址，ACG生成日志便记录用户MAC为同一物理地址；

此时若终端和ACG不在一个二层网络中，需要配置跨三层MAC学习，学习到真正终端的MAC地址，日志中才能体现出正确的终端MAC地址；

检查配置识别模式为private、识别范围为强制模式，配置用户同步IP地址为路由器与ACG直连IP地址（非管理口地址）、MAC地址为路由器侧G0/0MAC地址；

检查跨三层MAC学习情况，可以同步到用户：

同步到用户组织：

判断为用户同步配置错误导致学习异常；

优化用户同步配置，通过管理口进行SNMP用户同步，填写IP地址为路由器上各终端网关的IP地址，MAC地址为路由器直连管理交换机的物理口MAC地址；

规范用户同步配置后，日志显示终端MAC地址正常；

如果终端网关在路由器下方的交换机上，且交换机和路由器三层互联，则ACG直连设备到终端跨了两个三层网段，需要配置两次跨三层mac学习。

如终端A1-A2交换机B1-B2路由器C1-C2 ACG（A1-A2、B1-B2、C1-C2属同段地址），要配置两条用户同步，一是路由器B2 IP地址+路由器C1口 MAC，二是A2 IP地址+路由器C1口 MAC；