SANGFOR AC SNMP实现跨三层绑定IPMAC20101224

SANGFOR AC SNMP实现跨三层绑定IP/MAC
SNMP实现跨三层IP/MAC绑定的前提条件：
三层交换机开启了SNMP功能，AC设备进行SNMP设置（填入三层交换机的IP/MAC/OID/COMMUNITY），用于读取三层交换机上的ARP表，获得内网所有PC的IP和MAC对应条目。

SNMP介绍：
SNMP(Simple Network Management Protocol，简单网络管理协议)用于管理互联网上众多厂家生产的软硬件平台，通过SNMP协议可以获得网络设备的网口配置，ARP表，CPU和内存使用情况等信息。

结合下图，我们介绍下SNMP跨三层IP/MAC绑定的原理：
SNMP方式实现跨三层的IP/MAC绑定的原理：
1.在AC上设置内网用户的IP/MAC的绑定关系：IP1/MAC1，IP2/MAC2
2.用户发送上网数据到网关，三层交换机收到数据，记录ARP表
3.AC上接收到来自源IP为IP1数据包，查看数据包的源MAC为MAC3(三层
交换机的MAC)时：
1）AC会再读取三层交换机的ARP表，找到IP为IP1对应的MAC地址为MAC1
2）将三层交换机ARP表的这条IP/MAC对应条目和第一个步骤AC上设置的绑定关系进行匹配，两者一致则验证通过
注：如果AC下面有多个三层交换机串联，AC的SNMP设置需填入每个三层交换机的IP/MAC/OID/COMMUNITY信息
SNMP方式实现跨三层的IP/MAC绑定配置（以如上拓扑图为例）：
1.三层交换机开启SNMP协议（各个厂家三层交换机开启的命令不同，请联系
各交换机厂家协助）
2.AC设备进行SNMP设置：
AC2.0设备的SNMP设置：
AC3.0设备的SNMP设置：
FAQ：
1.不知道交换机的OID，如何获取OID
2.AC通过SNMP绑定IP/MAC失败
使用BPSNMPUtil工具轻松解决:
下载地址：/cn/freeware/software/?BPSNMPUtil-5101.html
获取交换机的OID：
一、打开BPSNMPUtil，如下图：
1.先填写以下信息：
Host：要获取MAC表的交换机的IP地址
OID：交换机MAC表对应的OID（此项一般各个厂商有默认出厂的值，修改不了）
Community：这个值在交换机上可以设置
2.点击该按钮“walk”
3.获取到的信息（假如value这一列中能看到MAC地址说明是能获取到的，而如果AC设备获取还有问题，那么联系SANGFOR检查AC；假如获取不到MAC 信息，那么检查交换机或网络环境）
二、因三层交换机所有的OID前面部分都一样，如1.3.6.1基本上都一样的，配置时，OID采用只填前面相同的部分1.3.6.1，然后打出日志，将所有的信息都获取下来，最后从获取到的内容里，查找Value这一列，找到Value值是MAC地址的，再看对应的这一行的OID，这个就是三层交换机MAC表对应的OID。

如下图：
那么该三层交换机的OID就是1.3.6.1.2.1.3.1.1.2.1
将OID填写为1.3.6.1.2.1.3.1.1.2.1，点击“walk”可以看到下图：
此时获得的信息全部是MAC表的信息，证明该OID就是三层交换机MAC表的OID，在AC上设置SNMP功能的时候，OID就填写这个值。

AC通过SNMP绑定IP/MAC失败：
使用AC做IP/MAC绑定，需要设置SNMP去获取内网三层交换机上的IP/MAC 表，并且设置好了允许新用户认证，绑定IP/MAC，并将认证成功的用户添加到组织结构的某个组里边，但是发现在线用户里边的用户都是临时用户，说明
IP/MAC可能没绑定成功。

这种情况下用BPSNMPUtil从内网PC去获取三层交换机的IPMAC看能否获取得到。

如获取到了，则联系SANGFOR进行排查，如获取不到，则确认community和OID是否填写正确。

如填写正确则确认是否和交换机之间的通讯是否被其他设备拦截。