SINFOR_AC跨三层mac地址绑定配置指导

SANGFOR SG快速安装手册技术支持说明为了让您在安装，调试、配置、维护和学习SANGFOR设备时，能及时、快速、有效的获得技术支持服务，我们建议您：1.参考本快速安装手册图文指导，帮助你快速的完成部署、安装SANGFOR设备。

如果快速安装手册不能满足您的需要，您可以到SANGFOR技术论坛或官网获得电子版的完整版用户手册或者其他技术资料，以便你获得更详尽的信息。

2.致电您的产品销售商（合同签约商），寻求技术支持。

为了更快速的响应您的服务要求和保证服务质量，您所在地的SANGFOR的产品销售商配备有经过厂家认证的技术工程师，会向您提供快捷的电话咨询、远程调试及必要的上门技术服务。

3.在不紧急的情况下，您可以访问SANGFOR的技术论坛，寻求技术问题的解决方案和办法。

4.致电SANGFOR客服中心，确认最适合您的服务方式和服务提供方，客服中心会在您的技术问题得到解决后，帮助您获得有效的服务信息和服务途径，以便您在后续的产品使用和维护中最有效的享受技术支持服务，及时、有效的解决产品使用中的问题。

SANGFOR技术论坛：公司网址：技术支持服务热线：400-630-6430（手机、固话均可拨打）邮箱：support@目录技术支持说明 (1)目录 (2)声明 (3)前言 (4)第1章SG系列硬件设备的安装 (5)1.1环境要求 (5)1.2电源 (5)1.3产品接口说明 (5)1.4配置与管理 (6)1.5单设备接线方式 (8)1.6双机备份接线方式 (9)第2章SG系列硬件设备部署 (11)2.1路由模式 (12)2.1.1路由模式部署配置案例 (13)2.2网桥模式 (19)2.2.1网桥多网口 (19)2.2.2多网桥 (25)2.2.3DMZ口重定向 (32)2.3旁路模式 (37)2.3.1旁路模式部署配置案例 (38)2.4单臂模式 (43)2.4.1单臂模式部署配置案例 (43)2.5高可用性配置案例 (46)2.5.1多机同步 (46)2.5.2双机维护 (50)第3章基本功能配置 (55)3.1封堵P2P应用配置案例 (55)3.2审计用户上网行为配置案例 (59)3.3限制下载工具的网络流量配置案例 (61)3.4保证重要应用网络流量配置案例 (67)3.5上网加速配置案例 (73)3.6上网代理配置案例 (74)3.7防共享功能配置案例 (75)3.8无线管理配置案例 (78)3.8.1客户网络环境与需求 (78)3.8.2无线基本配置 (79)3.8.3配置开放式无线网络案例 (79)3.8.4配置企业级认证无线网络案例 (82)第4章密码安全风险提示 (86)4.1修改控制台登录密码 (86)声明Copyright©2015深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。

深信服Sinfor AC上网行为管理解决方案目录目录一、上网行为管理与企业竞争力 (3)二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统 (3)三、滨江远望公司网络现状及深信服解决方案 (4)深信服解决方案 (4)网络拓扑图1： (5)网络拓扑图2： (6)四、深信服AC上网行为管理功能介绍 (7)1，细致的访问控制功能，有效管理用户上网 (7)2，完善的内容过虑和访问审计功能，防止机密信息泄漏 (7)3，强大的数据报表中心，提供直观的上网数据统计 (7)4，强大的QOS及流量分析功能 (8)5，集成丰富的外网安全功能：包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等 (8)五、SINFOR AC安全网关主要技术优势 (8)1，深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件 (8)2，邮件的延迟审计（专利技术） (9)3，独有的网络访问准入规则（专利技术） (9)4，WEB认证技术 (9)5，高度集成，部署灵活 (9)6，模块化设计，性能强大 (9)六、成功典型案例 (10)附1：深信服上网行为管理功能一览表 (11)一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。

在IDC对全世界企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。

据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。

这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。

企业网作为一个开放的网络系统，运行状况愈来愈复杂。

企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这一切都是对企业网信息安全管理的挑战，这些问题包括：●IT管理员如何对企业网络效能行为进行统计、分析和评估？●IT管理员如何限制一些非工作上网行为和非正常上网行为（如色情网站），如何监控、控制和引导员工正确使用网络？●IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料？●IT管理员如何在万一发生问题时有一个证据或依据？二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具，同样面临着适当监控、合理使用的问题。

配置跨三层MAC识别的三个步骤！型号：AC-1900版本：AC-11.9R1网络简介：AC部署在出口设备和核心交换机之间，核心交换机是三层设备。

需求：客户想要实现MAC免认证。

要想实现MAC免认证，则AC必须读取到终端设备的MAC地址，在当前的网络结构中，AC某公司公司法获取终端设备的MAC，因此，想要实现MAC免认证，必须配置跨三层MAC识别。

一、交换机配置客户内网是一台DCWS-68某公司E的交换机，某公司公司法参照之前论坛提供的“某公司公司_AC_v11-CONF-06-08_跨三层MAC 识别配置指导.pdf”文档，依照经验配置，尝试多次，并联系神码客服，费了2个多小时，终于搞定了。

四条命令：snmp-server enablesnmp-server community ro 0 dcndcnsnmp-server securityip disablesnmp-server enable traps二、使用“BPSNMPUtil.exe”工具获取OID这个步骤不能省。

因为即使你交换机的配置没有问题，但你不知道交换机的OID，在AC上配置跨三层MAC识别也是某公司公司法获取终端MAC的。

AC的跨三层识别默认内置了OID，但经过测试，其OID是某公司公司设备的（华为设备没有验证）。

默认OID：如果你不能确定你设备的OID就是AC内置的，建议使用“BPSNMPUtil.exe”先进行OID的获取工作。

神码设备的OID：IP OID：1.3.6.1.2.1.4.22.1.3MAC OID：1.3.6.1.2.1.4.22.1.2此OID适用于神码设备的：DCRS-7604E、DCRS-68某公司E、DCRS-9816E三、AC配置某公司公司认证与管理--认证高级选项--跨三层取MAC--新增，然后填写第二步获取的OID和交换机地址信息。

最后在认证策略里配置密码认证，认证后处理动作勾选“自动录入绑定关系”、“绑定MAC”和“开启免认证”，实现MAC免认证。

华为三层交换机绑定IP和MAC地址基础命令//本⽂档主要介绍交换机地址绑定基本流程和⽤到的命令；//不记得命令可以输⼊？查看，或在⼀段命令中⽤‘TAB’键进⾏命令补全：如”user-b s mac-a 'TAB' //此处，将⾃动补全命令为user-b s mac-address；终端上telnet #交换机位置；输⼊登录ID和密码；su //进⼊ROOT权限；输⼊⼆级密码；dis mc-address #mac地址； //查看⽬标MAC地址与交换机对应情况{如回显GE /0/0/X 说明和交换机的x号端⼝相对应；如回显XGE /0/0/x 说明交换机和所在终端不是直通状态；如没有回显说明MAC地址错误或终端在关机状态；}#绑定地址需要确认端⼝开启了 anti attack 服务{输⼊命令：dis cur | beg #端⼝号；可以看到端⼝回显信息，也可以查询是否开启了 anti-attack ；如果条⽬不存在，输⼊以下命令；{integration ;are Anti-attack check user-bind enable; //开启 anti-attackdis cur | beg ; //再次查看端⼝信息确认}#确认服务开启后sys //进⼊配置界⾯；#如需要输出之前的绑定，可以输⼊undo user-b s ip-address #ip地址； //可以连带删除端⼝，MAC地址绑定，也可以输出mac-address #mac地址user-b s ip-address #ip地址 mac-address #mac地址； //指定ip地址和mac地址绑定，绑定类型可以端⼝，ip,mac⾃由组合quit； //退出配置界⾯save；保存设置。

深信服防火墙路由接口配置案例路由接口的典型应用环境是将SANGFOR NGAF 设备以路由模式部署在公网出口，代理内网上网，像一个路由器一样部署在网络中，如下图所示：配置案例：某用户网络是跨三层的环境，购买NGAF 设备打算部署在公网出口，代理内网用户上网，公网线路是光纤接入固定分配IP 的。

第一步：通过管理口(ETH0) 的默认IP 登录设备。

管理口的默认IP 是10.251.251.251/24 ，在计算机上配置一个相同网段的IP 地址，通过https://10.251.251.251 登录设备。

第二步：配置外网接口，通过『网络』→『接口/区域』，点击需要设置成外网接口的接口，如eth2，出现以下页面：接口[类型]选择路由。

[基本属性]可以设置是否为WAN 口和允许PING。

如果是WAN 口，是否与IPSEC VPN 出口线路匹配。

连接上行链路的接口需要勾选WAN 口。

[区域]选择接口eth2 所属的区域。

区域需要提前设置，本例将ETH2 划入WAN 区域，对于区域的设置请参考章节3.3.1.5 区域设置。

选择配置IPv4 地址：[连接类型]包括静态IP、DHCP、ADSL 拨号三种，根据该线路的特征进行配置，如果选择静态IP，需要填写好IP 地址/掩码以及下一跳网关；如果该接口是DHCP 自动获得地址，则设置DHCP；如果线路是ADSL 拨号，则配置好拨号所需的用户名、密码和其他拨号参数。

静态IP 地址可以填写成“IP/掩码”和“IP/掩码-HA”两种形式，后一种形式表示同步网口配置时，不同步IP 地址，“IP/掩码-HA”的形式适用于NGAF 设备双机部署的环境。

本案例中外网接口连接的是静态IP 的光纤线路，所以选择静态IP，并且配置ISP 提供给该光纤线路的公网IP 地址和下一跳网关。

[线路带宽]设置公网链路的上下行带宽。

点击可以修改带宽单位，包括KB/s，MB/s，GB/s。

[链路故障检测]用于检测链路的好坏。

目录跨三层mac地址绑定的配置方法 (1)本文说明 (1)跨三层mac地址绑定原理 (1)跨三层mac地址绑定的配置步骤 (2)步骤一：配置三层交换机的SNMP选项 (2)步骤二：配置AC设备的SNMP项 (2)步骤三：对内网用户认证启用mac地址绑定 (4)跨三层mac地址绑定的高级应用 (5)跨三层mac地址绑定的配置方法本文说明AC1.96版本开始，支持在跨三层环境下，对内网用户单独绑定mac地址。

AC1.96之前的版本是不支持该功能的，因为在跨三层交换机的环境下，数据经过三层交换机后源mac地址都会转变成三层交换机的mac，这样会导致AC设备无法识别内网电脑的真实mac地址，从而导致启用绑定mac后的认证失败。

针对这个情况，1.96做了改善，通过AC设备直接到三层交换机上通过SNMP协议定期获取用户端的真实mac来解决这个问题，下文将详细介绍如何配置使用这个功能。

跨三层mac地址绑定原理在有三层交换机的网络环境下（如下图），内网用户采用绑定mac地址的认证方式来上网。

此时，AC1.96版本，对客户端mac地址的效验是依靠snmp协议来实现的。

过程如下：前提条件：在设备上以及三层交换机上都配置了snmp的相关项。

1、AC设备作为snmp客户端，会定期向三层交换机的udp 161端口发送获取其[MAC地址表]的请求信息。

2、三层交换机作为snmp服务器端，当收到来自AC的请求后，会将自己的[MAC地址表]回复给AC 设备。

3、设备会将由三层交换机上获得的[MAC地址表]内容，同内网绑定mac认证的用户此时的ip地址和以及其绑定的mac地址与作比较。

如果MAC地址信息跟设备上绑定的信息一致，则该用户认证成功。

如果MAC地址信息不一致，则该用户认证失败。

跨三层mac地址绑定的配置步骤下文将以内网中只有一台三层交换机的情况为例，介绍在有单台三层交换机的环境下（如下图），内网用户mac地址绑定的配置方法。

S i n f o r数据中心快速安装配置手册SINFOR AC数据中心SINFOR AC数据中心采用B/S架构，分为服务器端和浏览器客户端。

配置完服务器端后，用户即可使用浏览器访问SINFOR AC数据中心进行相关操作。

一、服务器端使用说明1、安装向导将安装光盘放入光驱内。

运行数据中心的安装程序：Sinfor_AC_DataCenter_Setup_1.4（程序名后面的版本号可能因升级而不一致），双击该程序开始安装，出现如下界面：点击“下一步”，出现接受安装许可协议，如图所示：若您同意许可协议，选择“I accept the agreement”，点击“next”，出现“Web服务端口设置”界面，如下图所示：输入要设置的服务端口，缺省情况下是：80端口。

请确认安装SINFOR AC 数据中心的计算机并未使用缺省端口。

若已经使用，请更改端口号以避免和其他应用程序的端口冲突。

点击“next”，出现选择安装程序目录界面，如图所示：缺省情况下，SINFOR AC数据中心程序将安装在“C:\ProgramFiles\Sinfor\DateCenter”的文件夹下。

若要更改，请点击“Browse”选择安装程序另外的存放位置，推荐使用缺省的安装目录。

点击“Next”，出现确认对话框，如下图所示：请确认安装信息是否有误。

若有误请选择“Back”返回修改。

确认无误，点击“Install”，开始安装程序，出现程序安装进度界面，安装过程将持续1~2分钟，请耐心等待。

安装完毕，出现如图所示：点击“Finish”，即可启动数据中心配置端。

2、配置向导启动“登录数据中心配置端”，出现登录对话框，如图所示：输入用户名和密码。

用户Admin的初始密码为空（进入配置界面后可设置密码，具体修改步骤请参考：“登录密码修改”步骤），点击“登录”即可进入数据中心的配置界面，如下图所示：数据库配置功能：用于配置SINFOR AC网关同步日志所存放的数据库信息，以及同步的附件存放的文件目录。

SANGFOR AC SNMP实现跨三层绑定IP/MACSNMP实现跨三层IP/MAC绑定的前提条件：三层交换机开启了SNMP功能，AC设备进行SNMP设置（填入三层交换机的IP/MAC/OID/COMMUNITY），用于读取三层交换机上的ARP表，获得内网所有PC的IP和MAC 对应条目。

SNMP介绍：SNMP (Simple Network Management Protocol，简单网络管理协议) 用于管理互联网上众多厂家生产的软硬件平台，通过SNMP协议可以获得网络设备的网口配置，ARP表，CPU和内存使用情况等信息。

结合下图，我们介绍下SNMP跨三层IP/MAC绑定的原理：SNMP方式实现跨三层的IP/MAC绑定的原理：1. 在AC上设置内网用户的IP/MAC的绑定关系：IP1/MAC1 ，IP2/MAC22. 用户发送上网数据到网关，三层交换机收到数据，记录ARP表3. AC上接收到来自源IP为IP1数据包，查看数据包的源MAC为MAC3(三层交换机的MAC)时：1）AC会再读取三层交换机的ARP表，找到IP为IP1对应的MAC地址为MAC12）将三层交换机ARP表的这条IP/MAC对应条目和第一个步骤AC上设置的绑定关系进行匹配，两者一致则验证通过注：如果AC下面有多个三层交换机串联，AC的SNMP设置需填入每个三层交换机的IP/MAC/OID/COMMUNITY信息SNMP方式实现跨三层的IP/MAC绑定配置（以如上拓扑图为例）：1. 三层交换机开启SNMP协议（各个厂家三层交换机开启的命令不同，请联系各交换机厂家协助）2. AC设备进行SNMP设置：AC 2.0设备的SNMP设置：AC 3.0设备的SNMP设置：实例配置：H3C S55001> AC/SG 上设置跨三层识别MACSNMP服务器列表：三层IP/MAC/OID/publicOID:1.3.6.1.2.1.3.1.1.2.1.3.6.1.2.1.4.22.1.22> H3c设置：system_viewsnmp-agent community read public 其中public为三层交换机的Communit snmp-agent sys-info version all 其中all表示所有版本dis cusave三层交换机MAC：用网关运行客户端登陆到设备后台ping一下三层交换机的接口通过查看arp缓存表查看对应的mac地址三层交换机IP识别：与设备相接的端口IP。

路由器MAC绑定怎么设置
MAC(Media Access Control或者Medium Access Control)地址，意译为媒体访问控制，或称为物理地址、硬件地址，用来定义网络设备的位置。

下面是店铺给大家整理的一些有关路由器MAC绑定方法，希望对大家有帮助!
路由器MAC绑定设置方法
首先要知道自己的客户端(可以是电脑、手机等设备)设备的MAC 地址(唯一)。

开始→运行→输入：CMD 点击确定(或按回车键)，打开命令提示符窗口。

然后再在命令提示符窗口中输入：ipconfig /all →(按回车键执行命令)
在弹出的讯息中，找到相应的设备(有线还是无线)的物理地址(12位数字)这就是网卡的MAC地址(唯一)。

然后，再在浏览器的地址栏输入登录路由器的IP地址(通常在路由器的背面有IP地址)，进入设置界面。

通常默认的登陆用户名和密码(路由器背面有提示)都是admin→确定。

进入路由器的设置界面→IP和MAC绑定。

点击启用→保存，之后创建的规则才会生效(看红色文字的说明)。

开启绑定MAC功能之后，再点击增加单个条目。

按照之前获得的设备MAC地址，填入路由器绑定的MAC地址之中→保存即可。

如有这个提示：MAC地址字符串长度不够!，说明填写出错，两位数字之间要有一个减号(可以参考命令提示符的显示填写)。

绑定成功自动跳转。

勿忘点击一下网页，成功打开网页，说明绑定成功，否则说明MAC地址没有填写正确等错误，重新填写、设置。

说明：三层IP/MAC绑定可以防止IP被人盗用，从而不会出现没有上网权限的人盗用有上网权限的IP，进行冒充他人身份上网的情况。

1、首先配置三层交换机的SNMP协议及团体名(comunity)这个每个厂商交换机配置方式不同，请查阅贵公司交换机配置手册2、在网康设备上添加三层交换机信息主要添加交换机管理IP和团体名(comunity)3、扫描网络中的IP和MAC地址，并导入到用户列表中。

用户管理—用户导入—IP：填写IP范围，点击扫描再手工输入用户名，点击导入，就可以导入到设备的组织管理下。

注意：（1）如果网络中的电脑没有开机，将不会被扫描到。

漏掉的少量电脑可以直接到组织管理进行手工建立用户；（2）导入完毕后，请到用户管理—组织管理中将“IP临时用户”组下面的用户全部删除。

4、进行三层IP/MAC绑定用户管理—组织管理：点击ROOT，右边出现我们建立的用户列表将所有用户选中，点击操作下面的“三层IP/MAC绑定”5、启用防护报警，启用三层绑定阻塞功能6、对已经建立的用户组织进行应用控制策略设定根据常规的应用控制策略方式来进行设定即可。

比如阻塞这部分用户上QQ等。

注意设备隐含的一条最低优先级的规则是：允许任何用户上任何应用/网页。

所以一般我们所作的策略，是要阻塞XX用户使用XX应用/网页。

7、对未分配的IP，禁止使用任何应用在我们手工建立用户列表并绑定后，属于已绑定范围内的IP别人无法盗用，但是未绑定的IP可能还会被人盗用。

有的用户可能自己会乱改IP，所以要设定一条应用控制策略，禁止未分配IP上任何用户。

未分配IP会出现在系统内置的“IP临时用户”中，所有做一条策略阻塞“IP临时用户”上网：。

AC设备跨三层绑定IP/MAC的具体设置绑定IP/MAC的作用：1.认证2.防止在设备上设置了不允许用户上网，但是用户自己改动本机的ip或mac地址以后就可以上网的情况绑定ip/mac的情况有两种：情况一访问控制用户新建用户步骤一：在新建用户的时候点击“访问控制用户”并“新增（用户）”如图：步骤二：填写“用户名”“描述”（自定义)，选择“同时绑定ip/mac”然后选择下面的“扫描MAC地址”在地址栏里面填写要绑定的ip地址并再次点击“扫描MAC地址”如图：步骤三：如下图：绑定的ip/mac会在地址栏里面显示，然后点击下面的“确定”保存，这样就给一个新建的用户绑定了ip/mac：情况二：新用户认证在新用户认证里面也可以绑定ip/mac点击“认证选项设置”并勾选“新用户认证”和“认证成功的新用户，自动添加到用户列表中的xxx组”并选择“同时绑定ip/mac”选择“确定”保存如图：这样设置了以后第一次认证的用户会自动添加到该组并绑定ip/mac注意：即跨三层环境时，开启自动认证新用户，一定不要选绑定IP/MAC，否则自动绑定的都是三层交换机的MAC了。

客户机和AC设备之间跨三层设备的情况下对用户绑定IP/MAC的时候需要在相应的组里面启用准入具体设置如下：步骤一：首先新建一个准入规则点击“新建”如图：步骤二：规则类别选择“其他”如图：步骤三：填写“规则类型”、“规则名称”、“规则描述”（自定义）并在“配置”栏里将“在客户端验证IP/MAC(仅对同时绑定IP和MAC的访问控制用户生效)”选中，“为防止病毒，禁止以Admin身份登录的勾是要去掉的（或者建议去掉）”“确定”保存，如图：步骤四：在“准入策略”里面选择“启用”并“提交”如图：步骤五：选择相应的组启用准入比如选中“test”组并“编辑”如图：步骤六：选择在“准入规则”里面手动添加的规则（类型）给“启用”然后“确定”保存如图：说明：当在ac设备上启用了准入规则以后，在上网的时候会自动安装一个准入客户端的；手动安装，如：AC的LAN口或网桥IP是192.168.0.100，则下载地址是：http://192.168.0.100/singress.exe，另外，直接访问http://192.168.0.100这个在线列表页面，里面也有一个准入规则的下载链接了，不用记后面加个singress.exe的下载链接。

深信服跨三层扫描MAC教程制作:孤独深过海QQ:13771988 他人转载,请注明出处.深信服做为国内相对较好的上网行为管理设备,占有了相当的市场份额. 过滤功能相当不错. 但是现在的网络应用层出不穷,有无线,有线连接方式,VLAN虚拟虚拟网等各种网络应用技术.在有三层交换并且划分VLAN的情况下, 如何做到通过MAC地址来管控上网权限,拒绝非授权MAC地址的网络设备连入公司局域网?深信服给了一个解决方案,但是关键的一点却并没有一个非常明确的说法. 百度贴吧,百度知道,深信服官方论坛等也说的不清不楚. 只有一个深信服的设置方法,却没有如何在三层上设置的方法.许多的IT朋友相当苦恼.在此,本人写一个实用教程.一步步教导你怎么去实现跨三层交换机多VLAN下怎么可以用深信服扫描MAC.以MAC方式管理上网权限.在实际应用中,深信服扫描到的MAC都是三层的. 如何做到把扫描的三层MAC替换为实际的MAC,是重要的一环.一,设置深信服1.设置认证选项I如红色框中所示,找到添加服务器II 如图所示的扫描IP,一定要是与你的深信服管理IP同一网段,并且是三层交换机的IP.扫描后的结果里选择一条后添加即可.不用全部添加.如果有多个三层,每一台三层都要一条记录.本人的实际中是两台三层cisco .添加两条.2.设置认证策略I.策略使用范围中,填写你自己的子网段II.设置认证策略3.提交,深信服设置结束.二. 3层交换机设置(cisco 例)1.开启SNMP.switch>enableSwitch# configure terminalSwitch(config)# snmp-server community public ro2.设置SNMP接收服务器,!!!!!!这是极其重要的一环,否则,深信服将不能接收到三层交换机发来的ARP信息,也就无法检测到三层交换网络中客户端的MAC地址!!!!Switch(config)# snmp-server host 10.10.10.5 ni-view .// host 后面的IP,为深信服的IP3.设置Trap.Switch(config)# snmp-server enable traps snmp设置完毕,原来已经自动扫描到的客户端全部删除.几秒钟后会自动加进来,这时候,MAC 地址一栏就显示出各自的真实MAC地址,而不是cisco 三层MAC地址了.这样,深信服就以扫描到其他VLAN里client 的MAC地址了. 就可以通过MAC地址来管理网络上网权限. 当然,这是第一步,更为高级的方式是以windows AD 来认证上网者的身份.本文不做讲解.。

SINFOR AC上网行为管理设备管理功能介绍（一）控制功能：细致而全面的访问控制功能，有效管控员工的上网行为不能识别，何谈管控？基于精准用户身份识别、终端识别和行为识别，SINFOR AC为不同员工授予差异化的网络访问权限。

SINFOR AC不仅对员工的WEB、FTP、MAIL等常见行为及内容进行管控，更可以对QQ、MSN、BT、电骡、在线炒股、网络游戏、网络电视等进行管控，从而规范了员工的上网行为，提升员工的工作效率。

（二）监控功能：完善的内容过虑和访问审计功能，防止机密信息泄漏组织机构的信息资产很多是通过内部泄漏。

SINFOR AC完善的访问审计和监控功能有效防止信息通过Internet泄漏，形成内部安全威慑，减少内部泄密行为，而对于防止过度监控导致的组织高层领导访问网络过程中涉及机密信息泄密的可能，SINFOR AC也提供“免审计KEY”这样的关键特性，满足组织差异管理的需求。

（三）报表功能：强大的数据报表中心，提供直观的上网数据统计SINFOR AC不仅内置数据中心，且支持强大的外置数据中心，可实现海量存储行为日志，并且所有的查询、统计等功能不影响网关设备性能。

对于组织的上网行为审计要求，管理者可分组、用户、规则、协议等多种查询对象，按饼状图、柱状图、曲线图等方式进行统计，直观查看网络流量、邮件、网络行为、上网时间等多种详细日志信息，并可打印和导出报表；SINFOR AC 的自动报表功能将管理者指定的统计、审计结果发送到指定邮箱，而强大的内容检索功能，通过类似Google的搜索界面，实现海量日志的检索和审计。

SINFOR AC详细分析组织机构的Internet使用情况，为管理者的决策提供了最有效的数据支撑。

（四）带宽及流量管理功能：强大的线路管理、流量分析、带宽分配功能SINFOR AC具有强大的带宽管理和流量控制功能，独有的多线路复用专利让一台SINFOR AC可连接四条公网线路，多条线路间互为备份，实现带宽叠加、负载均衡和智能选路。