华为防火墙配置跨三层MAC识别

1.需求

• FW作为企业的出口网关，内网用户通过三层交换机与FW相连，并通过FW访问Internet。FW需要以MAC地址为匹配条件配置安全策略、策略路由、带宽策略等来控制内网流量。

• 拓扑图
  

2. S5700交换机为例

• 开启snmp

[Switch] snmp-agent
[Switch] snmp-agent sys-info version v2c
[Switch] snmp-agent community read Public@123

3. 防护墙配置

• 配置FW的接口IP地址。

[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 192.168.2.100 24
[FW-GigabitEthernet1/0/2] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/2

• 配置Local到Trust区域的安全策略，允许防火墙向交换机发送SNMP报文。

[FW] security-policy
[FW-policy-security] rule name policy_sec
[FW-policy-security-rule-policy_sec] source-zone local
[FW-policy-security-rule-policy_sec] destination-zone trust
[FW-policy-security-rule-policy_sec] destination-address 192.168.2.110 32
[FW-policy-security-rule-policy_sec] action permit

• 配置跨三层MAC识别。

[FW] snmp-server arp-sync enable
[FW] snmp-server target-host arp-sync address 192.168.2.110 community Public@123 v2c
[FW] snmp-server arp-sync interval 5 timeout 3