1678375562,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区

问题描述：

ACG1000  只允许做了ip/mac地址绑定的用户访问外网
跨三层取mac已配，怎样配置策略

组网及组网描述：

6小时前提问

配置认证吧，通过用户里绑定IP MAC进行限制

6小时前回答 (5)

新建用户 同时绑定 ip mac吗

是的

最后是根据用户配置上网权限策略吗

是

好的，感谢

1、ACG1000跨三层IP-MAC绑定原理
      （1）在ACG上学习并绑定终端的IP+MAC的绑定关系：IP1+MAC1
      （2）终端与网关交互ARP报文，网关（三层交换机）记录ARP表项
      （3）ACG接收来自源为IP1数据包、且源MAC为ACG与网关互联端MAC3时：
           a.ACG检查从网关读取的当前动态ARP表，IP1对应MAC地址为MAC_X;
           b.将MAC_X与前述步骤（1）中的MAC1做比较，若MAC_X＝MAC1，报文可以转发，反之则丢弃报文

2、从现场信息来看问题出现在上述步骤中的（3）部分，仔细检查并核对配置发现“跨三层MAC学习”中“MAC地址”选项配置了acg1000直连核心的二层接口mac，而不是直连核心的三层接口mac，第（3）部分中acg1000是将收到的数据包的源mac和“跨三层MAC学习”中配置的“MAC地址”进行比对，由于现场配置成了核心直连二层接口的mac，实际数据包源mac肯定是核心直连三层接口的mac，这边比对肯定失败，所以报文直接被丢弃了

将“跨三层MAC学习”中“MAC地址”配置为ACG1000直连核心三层接口的mac地址

ACG1000的“跨三层MAC学习”功能配置参数要求：其中IP地址为网关地址，MAC地址为网关设备与ACG互联三层接口的MAC地址（若网关设备与ACG设备之间还有多跳，则为距ACG最近一跳设备的转发三层出接口MAC，亦即ACG指向绑定网段路由下一跳IP的MAC），团体名为SNMP只读团体名即可

6小时前回答

你正在,acg1000 只允许做了ip/mac地址绑定的用户访问外网