华为防火墙跨三层识别MAC地址

跨三层MAC识别，指的是当FW和内网PC之间有三层网络设备时，FW仍能学习到内网PC的MAC地址。

当内网PC采用动态IP地址访问互联网时，使用IP地址作为匹配条件已经无法实现对网络流量的准确匹配和控制，此时需要使用MAC地址作为策略匹配条件。

然而，在如图1和图2所示的跨三层网络设备的组网环境中，FW无法直接获取到内网PC的MAC地址，需要开启FW的跨三层MAC识别功能以获取到内网PC的MAC地址。

FW的跨三层MAC识别功能支持以下两种组网环境：

图1 FW作为三层设备和三层网络设备相连

图2 FW作为二层设备和三层网络设备相连

业务流程

如图3所示，为FW跨三层网络设备学习内网PC MAC地址的业务流程。

图3 跨三层MAC识别业务流程图

1. 阶段一
   1. 组网中已支持SNMP Agent服务的三层网络设备获取内网PC的IP-MAC映射关系，生成或更新对应的ARP表项。
   2. FW定期向指定三层网络设备发送SNMP Request报文以请求其ARP表项。
   3. 三层网络设备响应请求，返回其ARP表项。
   4. FW将请求到的ARP表项存在内存中，学习到内网PC的MAC地址。
2. 阶段二管理员可以将FW学习到的MAC地址作为策略匹配条件“源MAC地址”或“目的MAC地址”。作为匹配条件的MAC地址不是从内网流量的报文中提取，而是通过查询内存中的ARP表项得知。
3. 阶段三
   1. 内网PC经三层网络设备以及FW访问外网。
   2. FW根据已配置的策略放行或阻断来自内网的数据流。收到来自内网PC的报文后，FW可以根据报文中的IP地址对照内存中同步到的ARP表项，或者在没有同步到三层网络设备ARP表项时对照自身获取到的ARP表项，进而查询到内网PC真实的MAC地址。FW将内网PC真实MAC地址和策略进行匹配并根据匹配结果对内网数据流进行处理。