在H3C防火墻與核心交換機之間橋接部署深信服上網行為管理設備時，設備工作在透明模式（二層橋接），默認無法直接獲取三層設備的MAC地址。以下是實現三層MAC地址獲取的詳細方案：

一、網絡拓撲與需求分析

典型部署拓撲為：
`
互聯網 → H3C防火墻（三層路由） → 深信服設備（透明橋接） → 核心交換機（三層網關）
`

核心問題：
- 深信服設備工作在二層，只能看到直接相連設備的MAC地址
- 無法直接獲取防火墻后的終端真實MAC地址
- 影響基于MAC地址的審計、管控策略

二、解決方案

方案1：ARP代答技術（推薦）

1. 原理：

• 在H3C防火墻上開啟ARP代理功能

• 當深信服設備發送ARP請求時，防火墻代為響應終端MAC

2. H3C防火墻配置：
`
interface GigabitEthernet 0/1 # 連接深信服的接口
arp-proxy enable # 啟用ARP代理
arp-proxy inner-sub-proxy enable # 啟用子網內代理
`

1. 深信服設備配置：

• 登錄Web控制臺

• 進入【網絡配置】→【部署模式】

• 啟用【跨三層MAC識別】功能

• 添加H3C防火墻的IP地址作為SNMP查詢點

方案2：SNMP跨三層MAC識別

1. 網絡設備準備：

• 確保H3C防火墻和核心交換機開啟SNMP服務

• 配置SNMP v2c或v3只讀社區名

2. H3C設備SNMP配置示例：
`
snmp-agent
snmp-agent community read public # 配置只讀社區名
snmp-agent sys-info version v2c # 使用v2c版本
snmp-agent target-host trap address udp-domain 192.168.1.100 params securityname public # 深信服設備IP
`

1. 深信服設備配置：

• 進入【系統】→【網絡配置】→【跨三層MAC識別】

• 添加SNMP服務器：

• IP地址：H3C防火墻管理IP

• 端口：161（默認）

• 社區名：與防火墻配置一致

• OID：使用默認或根據設備型號選擇

方案3：端口鏡像輔助分析

1. 旁路部署鏡像：

• 在核心交換機上配置端口鏡像

• 將用戶所在VLAN的流量鏡像到深信服的監聽口

2. H3C交換機鏡像配置：
`
mirroring-group 1 remote-source # 創建遠程鏡像組
mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 both # 源端口
mirroring-group 1 monitor-port GigabitEthernet 1/0/24 # 目的端口（接深信服）
`

三、配置驗證與優化

驗證步驟：

1. 在深信服控制臺查看【實時狀態】→【在線用戶列表】
2. 確認用戶信息中已顯示正確的MAC地址
3. 測試基于MAC地址的管控策略是否生效

性能優化建議：

• 調整SNMP查詢間隔（建議30-60秒）
• 限制查詢的IP地址范圍
• 啟用MAC地址老化機制
• 定期清理無效MAC表項

四、故障排查

常見問題及解決：

1. MAC地址顯示不全：

• 檢查防火墻ARP代理配置

• 驗證SNMP連接狀態

1. 性能影響：

• 減少SNMP查詢頻率

• 考慮使用端口鏡像方案

1. 兼容性問題：

• 確認H3C設備型號支持的SNMP版本

• 聯系深信服技術支持獲取特定OID

五、安全注意事項

1. SNMP社區名使用強密碼
2. 限制SNMP訪問IP（僅允許深信服設備）
3. 定期更新設備固件
4. 審計日志中監控異常MAC獲取行為

通過以上方案，可在橋接模式下準確獲取三層網絡的MAC地址，確保上網行為管理的完整性和準確性。建議首選方案1（ARP代答）與方案2（SNMP）結合使用，實現最佳效果。