深信服AC跨神码三层交换做MAC绑定
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了深信服AC跨神码三层交换做MAC绑定相关的知识,希望对你有一定的参考价值。
先是要开启AC与三层交换的SNMP 但是 现在不知道神码的咋个弄
参考技术A 如果上网用户的计算机到设备间,穿越了一台/多台三层交换设备,则因为上网用户的计算机源 MAC 地址已经被改变,因此无法获取到真正的源 MAC 地址,此种情况下,可
以有以下两种方式识别出真正的源 MAC 地址。方法 1:通过 SNMP 协议,获取离上网计
算机最近的三层交换机(也就是上网计算机指向的网关设备)的 ARP 表,以获得某个 IP
地址上真正的源 MAC 地址。方法 2:通过启用准入系统,在上网计算机上安装准入插件,
以获取计算机的源 MAC。建议使用方法 1,因为通过准入获取真实 mac 不适用于自动添加
用户以 MAC 作为用户名和自动绑定 MAC 地址 参考技术B 找深信服工程师嘛 参考技术C 神马的有点特殊,建议打800 参考技术D 跨三层绑定mac可以实现?
深信服ip/mac绑错致终端无法上网
今天是2022年3月10日星期三,今天22楼与23楼都有多台pc无法上网,经查发现由于ac绑定了ip/mac,但主机久未使用,但是设备ip/mac仍然绑定导致无法上网,
网络问题处理头疼,需要懂协议、经验才能更好定位问题所在,这可以慢慢积淀,总归结局是令人欣喜的,我以往很少使用博客来记录工作遇到的事情,从今天起开始记录一些遇到的有意思的问题。
路由器与核心交换机间透明部署深信服全网行为管理(简称“AC”),以下简述这件事情:今早上几台主机无法上外网(百度等无法访问,内网正常),打开网页总提示:“连接已重置,请检查代理 ”一系列云云,在这几台设备中,分别是两个不同网段的设备,配置的同vlan的IP,且trunk上放行各个需要vlan id,就配置正常,理论是可以的,内网可以ping通到ac,却无法ping通路由器,还有一个比较奇怪的现象,如果我为他们dhcp分配地址则完全正常,但手工配置静态ip则容易失败,由于这边研发部与测试部工作需要,都是使用手工配置静态ip作为终端配置IP。
初始我还以为是网络攻击,抑或是我的dhcp做的有问题,反复检查了配置,没有任何发现,哪怕我将dhcp关闭也无济于事,于是我通过静态配置却无法上网的主机,在主机上Ping,看主机流量在何处丢失,最终发现丢在ac之后,通过抓包发现,imcp报文的echo只有request,却没有回应的releay报文,此处原因待查。
于是,我登陆ac查看,通过网络故障排除设置处,输入源ip地址(终端),发现是用户认证策略导致丢包,
打开认证策略发现,是由于ip与mac绑定错导致,我将ip/mac绑定列表删除就恢复了,由于这几台是较早前的设备,放了很长一段时间未使用,当初的ip/mac绑定仍然保存着,这时拿出来修改IP使用就导致了此次的问题。
还是那句话,处理网络故障大部分时间都是在收集有用的信息,而这一过程最耗费时间精力,所以,工作需要仔细,配置变更时,更需要考虑它的影响,否则后面处理起来就急急忙忙。
以上是关于深信服AC跨神码三层交换做MAC绑定的主要内容,如果未能解决你的问题,请参考以下文章