深信服跨三层扫描MAC

深信服跨三层扫描MAC教程制作:孤独深过海QQ:13771988他人转载,请注明出处.深信服做为国内相对较好的上网行为管理设备，占有了相当的市场份额.过滤功能相当不错.但是现在的网络应用层出不穷，有无线,有线连接方式,VLAN虚拟虚拟网等各种网络应用技术.在有三层交换并且划分VLAN的情况下，如何做到通过MAC地址来管控上网权限，拒绝非授权MAC地址的网络设备连入公司局域网?深信服给了一个解决方案但是关键的一点却并没有一个非常明确的说法.百度贴吧，百度知道,深信服官方论坛等也说的不清不楚.只有一个深信服的设置方法，却没有如何在三层上设置的方法.许多的IT朋友相当苦恼.在此，本人写一个实用教程.一步步教导你怎么去实现跨三层交换机多VLAN下怎么可以用深信服扫描MAC.以MAC方式管理上网权限.在实际应用中，深信服扫描到的MAC都是三层的.如何做到把扫描的三层MAC替换为实际的MAC,是重要的一环.一，设置深信服1.设置认证选项I如红色框中所示，找到添加服务器II如图所示的扫描IP,一定要是与你的深信服管理IP同一网段,并且是三层交换机的IP.扫描后的结果里选择一条后添加即可.不用全部添加.・认证讪证g卜持三UMAE浪剧-扯巨认证选1度裾俄户用户自萌月步如果有多个三层，每一台三层都要一条记录.本人的实际中是两台三层cisco.添加两条.毛户正U证明警■订.证送呗ITl*TIM：l*X]E]l^：MiaiuriilyLO10IZE/fU-FT-!55-w旦刊□WLdSO12I2ZFD-PT-EE-fflLn>n£iPJ0i口9LOiu\2甚琨Lgri只用口'1LDJCi.：l2n2^irarFT-55-UMLiflnuziPH□sLO.3U.12.2/FO-PT-G5-..调Lg：识与口e-LD10J2E/Ki-FT-55-邵griPS□?Ld1012flZFD-FT-EE-LC.iuW/FO-PTTiEHnHiiWriFfll口甘LD10.：l2.2^mDrFT-55-L0W.iO.12.i/rO-PT-G5-..MinyudCisSl诟|朋WU蹒招加荥叩即:内10.L0.32-212.设置认证策略I.策略使用范围中,填写你自己的子网段II.设置认证策略3.提交，深信服设置结束.二.3层交换机设置(cisco例)开启SNMP.switch>enableSwitch#configureterminalSwitch(config)#snmp-servercommunitypublicro设置SNMP接收服务器，!!!!!!这是极其重要的一环，否则，深信服将不能接收到三层交换机发来的ARP信息,也就无法检测到三层交换网络中客户端的MAC地址!!!！Switch(config)#snmp-serverhost10.10.10.5ni-view.//host后面的IP,为深信服的IP设置Trap.Switch(config)#snmp-serverenabletrapssnmp设置完毕，原来巳经自动扫描到的客户端全部删除.几秒钟后会自动加进来,这时候,MAC地址一栏就显示出各自的真实MAC地址,而不是cisco三层MAC地址了.这样，深信服就以扫描到其他VLAN里client的