概述
跨三层 SNMP 学习 MAC 地址,是指通过网络设备的 SNMP 协议,跨越三层路由设备(如路由器、三层交换机、防火墙)获取终端设备的 MAC 地址信息(通常来源于设备的 ARP 表或 MAC 地址表)。这项技术打通了 IP 层与链路层的物理位置关联,能够精确回答"某个 IP 对应的设备目前连接在哪台交换机的哪个端口上",是网络运维、安全审计和资产管理的重要基础
网络拓扑
- 防火墙:连接两个区域(Trust 和 Management),并作为三层网关。
- 交换机:创建 VLAN 10 和 VLAN 20,分别连接防火期与终端设备。
- PC1:用于网络测试。
第一步 基础配置
防火墙
python
#
interface GigabitEthernet1/0/0
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
ip address 192.168.10.2 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name Management
import interface GigabitEthernet1/0/0
#
security-policy ip
# 流量为目的区域为Management的放行
rule 5 name Management
action pass
destination-zone Management
rule 10 name Trust
action pass
destination-zone Trust
rule 20 name Local
action pass
destination-zone Local
#
ip route-static 192.168.20.0 24 192.168.10.1交换机
kotlin
#
vlan 10
#
vlan 20
#
interface GigabitEthernet1/0/1
port access vlan 10
#
interface GigabitEthernet1/0/2
port access vlan 20
#
interface Vlan-interface10
ip address 192.168.10.1 255.255.255.0
#
interface Vlan-interface20
ip address 192.168.20.1 255.255.255.0
#
ip route-static 0.0.0.0 0 192.168.10.2第二步 SNMP相关配置
防火墙
dart
snmp-server arp-sync enable
snmp-server arp-sync target-host address 192.168.10.1 community simple 123456 v2c交换机
arduino
snmp-agent community write simple 123456
snmp-agent community read simple 123456
snmp-agent sys-info version all第三步 验证配置
交换机查看ARP表项 
防火墙查看同步效果 
第四步 防火墙依据mac作访问管控
csharp
# 配置mac地址对象组
object-group mac accessmac
0 mac 4cdb-b4c3-0306
# 只允许特定的mac设备访问防火墙本地
security-policy ip
rule 20 name Local
action pass
destination-zone Local
source-mac accessmac第五步 访问受控测试
