深信服AC跨神码三层交换做MAC绑定

Posted 2023-04-17

先是要开启AC与三层交换的SNMP 但是 现在不知道神码的咋个弄

参考技术A 如果上网用户的计算机到设备间，穿越了一台/多台三层交换设备，则因为上网用户
的计算机源 MAC 地址已经被改变，因此无法获取到真正的源 MAC 地址，此种情况下，可
以有以下两种方式识别出真正的源 MAC 地址。方法 1：通过 SNMP 协议，获取离上网计
算机最近的三层交换机（也就是上网计算机指向的网关设备）的 ARP 表，以获得某个 IP
地址上真正的源 MAC 地址。方法 2：通过启用准入系统，在上网计算机上安装准入插件，
以获取计算机的源 MAC。建议使用方法 1，因为通过准入获取真实 mac 不适用于自动添加
用户以 MAC 作为用户名和自动绑定 MAC 地址 参考技术B 找深信服工程师嘛 参考技术C 神马的有点特殊，建议打800 参考技术D 跨三层绑定mac可以实现？

深信服ip/mac绑错致终端无法上网

今天是2022年3月10日星期三，今天22楼与23楼都有多台pc无法上网，经查发现由于ac绑定了ip/mac，但主机久未使用，但是设备ip/mac仍然绑定导致无法上网，

网络问题处理头疼，需要懂协议、经验才能更好定位问题所在，这可以慢慢积淀，总归结局是令人欣喜的，我以往很少使用博客来记录工作遇到的事情，从今天起开始记录一些遇到的有意思的问题。

路由器与核心交换机间透明部署深信服全网行为管理（简称“AC”），以下简述这件事情：今早上几台主机无法上外网（百度等无法访问，内网正常），打开网页总提示：“连接已重置，请检查代理 ”一系列云云，在这几台设备中，分别是两个不同网段的设备，配置的同vlan的IP，且trunk上放行各个需要vlan id，就配置正常，理论是可以的，内网可以ping通到ac,却无法ping通路由器，还有一个比较奇怪的现象，如果我为他们dhcp分配地址则完全正常，但手工配置静态ip则容易失败，由于这边研发部与测试部工作需要，都是使用手工配置静态ip作为终端配置IP。

初始我还以为是网络攻击，抑或是我的dhcp做的有问题，反复检查了配置，没有任何发现，哪怕我将dhcp关闭也无济于事，于是我通过静态配置却无法上网的主机，在主机上Ping，看主机流量在何处丢失，最终发现丢在ac之后，通过抓包发现，imcp报文的echo只有request，却没有回应的releay报文，此处原因待查。

于是，我登陆ac查看，通过网络故障排除设置处，输入源ip地址（终端），发现是用户认证策略导致丢包，

打开认证策略发现，是由于ip与mac绑定错导致，我将ip/mac绑定列表删除就恢复了，由于这几台是较早前的设备，放了很长一段时间未使用，当初的ip/mac绑定仍然保存着，这时拿出来修改IP使用就导致了此次的问题。

还是那句话，处理网络故障大部分时间都是在收集有用的信息，而这一过程最耗费时间精力，所以，工作需要仔细，配置变更时，更需要考虑它的影响，否则后面处理起来就急急忙忙。