深信服AC 跨三层取mac

1、通过抓取arp包或dhcp包获取跨三层MAC信息和通过SNMP服务器获取MAC的方式可以二选一，也可以一起配置，优先建议使用通过镜像读取内网用户的MAC的方式；

通过抓取arp包或dhcp包获取跨三层mac：https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=38630

还有一种方法：我们最开始推荐的做法是，在核心上增加一个trunk口，允许所有vlan， 把这个trunk口连到AC上。 这样可以把所有广播包复制到AC上，包括ARP包和DHCP的包。

网桥下配置方式：AC网桥模式部署在trunk环境，当有vlan标签经过设备时：

（1）如果网桥IP不可用，使用DMZ口管理和上网重定向或者通过虚拟地址管理设备和重定向（设备不能通过虚拟地址上网）时，此时可以不设置vlan 。

（2）如果是需要网桥IP可用(使用网桥IP管理和重定向功能) ，因为网桥上下联是vlan环境, 所以需要启用vlan

以标准版本AC 13.0.120版本为例：在【系统管理】-【网络配置】-【部署模式】里面在配置网桥IP地址框里面配置vlan信息，格式为：vlan id/ip地址/子网掩码。（适用版本区间：上网行为管理11.0-12.0.120，全网行为管理13.0.4-13.0.120）

以标准版本AC 6.1R1版本为例：在【网络配置】-【部署模式】中，配置网桥IP地址列表下面勾选【启用vlan】，然后配置vlan ip，vlan ip格式为：vlan id/ip地址/子网掩码。（适用版本区间：AC 1.3-6.1R1）

2、如果内网终端有多个网关设备，可以新增多个SNMP服务器，需要在每个网关设备开启snmp V2协议，不支持snmp V3协议；设备添加对应的snmp服务器最多支持64条；

3、设备优先识别数据包中IP对应的Mac地址，每经过一个三层接口，源Mac都会更改成出接口Mac地址，需要排除AC下联的三层接口Mac地址，如果下联是堆叠或者vrrp部署，建议将两台设备的上联AC的三层口Mac地址和虚拟Mac地址都排除；

4、配置snmp服务器每次获取的最大个数建议是100或者50；

5、超时时间默认5S，支持修改1-5S，获取时间间隔默认5S，支持修改5-300S，如果网关设备arp条目很多，频繁获取导致网关设备cpu或者内存高，可以调整获取时间间隔；

6、AC需要跟三层设备通信，所以中间设备包括三层设备本身不能对通信的IP地址和UDP161、UDP162端口设置拦截。

7、AC设备跨三层MAC识别的团体名是否支持数字和启用SNMP的设备有关系，启用SNMP设备团体名支持设置数字即AC也支持；

8、AC跨三层的时候获取MAC是采用的轮询；例如三层交换机上有100个mac，第一次取前50个，第二次取后50个。

9、AC 12.0.47-12.0.120和AC 13.0.47-13.0.120版本，新增准入客户端监听的方案获取PC的真实MAC地址；终端需要安装准入客户端并接入AC，AC设备上只需要启用跨三层获取MAC，无需配置ARP或SNMP获取MAC配置