爱快路由器如何识别三层交换机各个VLAN内的设备MAC地址？

在开始配置之前先把拓扑图展示一下：

一、现状：

路由器是软路由，安装了爱快的免费版，版本号：3.7.21。交换机是华为的S5700-SI，一共划分了四个VLAN，其中VLAN 100接的是爱快路由器，VLAN 101主要接的是PC设备，VLAN 102接的是无线网络设备，VLAN 103接的是监控系统设备。交换机的每一个端口的端口类型都是 Access。

二、问题与需求：

在划分VLAN并且做好VLAN和端口的配置之后，因为爱快路由器与其它设备处于不同的VLAN，尽管依靠三层功能，各个VLAN之间可以相互通讯，但是VLAN 101、VLAN 102、VLAN 103内各设备的MAC地址却不能直接被爱快路由器所识别，这就导致了爱快路由器的一些功能，比如“MAC访问控制”，无法正常使用，甚至是在“终端监控”中，不能准确识别到各个终端的MAC地址，只能识别为三层交换机的网关MAC地址。如果要实现准确地识别终端的MAC地址，就需要交换机支持 SNMP 协议（服务端），爱快可以通过 SNMP 协议准确地识别出指定交换机下各个VLAN内各终端地MAC地址，刚好华为S5700-SI就支持 SNMP 协议，并且是可以作为服务端。

三、华为S5700-SI交换机的配置过程（基于安全角度，使用SNMPv3协议）

1、创建MIB视图，定义可访问的范围：

[HUAWEI] snmp-agent mib-view included View_Full iso

2、创建SNMPv3组

[HUAWEI] snmp-agent group v3 Group_Privacy_ik privacy notify-view View_Full read-view View_Full write-view View_Full

说明：

• v3 Group_Privacy_ik：组名
• privacy：安全级别（既认证又加密）
• notify-view：定义该组用户接收Trap的范围
• read-view：定义该组用户的只读访问范围
• write-view：定义该组用户的读写访问范围（如需要）

3、创建SNMPv3用户并绑定到安全组

[HUAWEI] snmp-agent usm-user v3 snmpv3_ik group Group_Privacy_ik

说明：

• snmpv3_ik 是 SNMPv3 的用户名，可以根据自己的需求修改成其它的用户名
• 绑定到 privacy 安全组

4、配置认证和加密参数

[HUAWEI] snmp-agent usm-user v3 snmpv3_ik authentication-mode sha
Please configure the authentication password (8-64)
Enter Password: ∙∙∙∙∙∙∙∙    # 这里需要输入用户认证密码,长度为8-64个字符，这里假设是ik88888801,输入完毕后按回车
Confirm Password: ∙∙∙∙∙∙∙∙   # 再次输入确认

# 配置加密参数（AES128算法）
[HUAWEI] snmp-agent usm-user v3 snmpv3_ik privacy-mode aes128
Please configure the privacy password (8-64)
Enter Password: ∙∙∙∙∙∙∙∙    # 这里需要输入加密密码，长度为8-64个字符，这里假设是ik88888802,输入完毕后按回车
Confirm Password: ∙∙∙∙∙∙∙∙   # 再次输入确认

除了以上备注信息，上面配置中还需要记下认证模式、加密模式所使用的算法：认证模式所使用的算法是sha，加密模式所使用的算法是aes128（即aes的一种），后面在路由器配置的时候需要选择算法。

5、（可选步骤）配置SNMP其他参数

[HUAWEI] snmp-agent sys-info contact ik@example.com # 配置邮箱联系方式
[HUAWEI] snmp-agent sys-info location "Guangdong, China - Server Room Rack-01" # 配置设备所在地地址信息
[HUAWEI] snmp-agent sys-info version v3 # 启用交换机对 SNMPv3 版本的支持

# 启用SNMP Trap功能（如需要）
[HUAWEI] snmp-agent trap enable 

关于 SNMP Trap 功能的说明：

SNMP Trap 是 SNMP 协议中非常重要的一种通信机制，它的核心作用是：让被管理设备（如交换机、路由器、服务器）能够主动向网管系统（NMS）报告重要事件或故障状态。

您可以把它理解为网络设备的 “紧急呼叫”或”自动报警” 功能。

四、爱快路由器的配置过程：

1、进入爱快路由器管理页面，打开“高级应用”——“跨三层应用”，点击页面上的“添加”按钮，如下图：

2、“SNMP服务器IP”填写可以访问的三层交换机网关地址，下面的解释中，所提到的用户名、密码等，均以上面的配置例子为例：

（1）“作用IP段”中选择或者输入位于三层交换机内的哪些IP地址段可以被爱快路由器识别出MAC地址；

（2）SNMP服务监听端口：默认是161端口，一般可以不用修改，除非交换机有做特别设定；

（3）SNMP协议版本：选择“V3”；

（4）备注：可以自定义，比如输入这个跨三层应用的具体用途；

（5）用户名：输入已设定的SNMPv3用户名，比如上面例子中所设定的“snmpv3_ik”；

（6）安全：选择“认证且加密”；

（7）认证模式：选择“SHA”；

（8）认证密码：输入“ik88888801”；

（9）加密模式：选择“AES”

（10）加密密码：输入“ik88888802”。

完成以上配置，确认无误后，点击“保存”，保存退出。如果设置准确无误的，爱快路由器应该就可以正确识别到不同VLAN指定IP地址段设备的MAC地址了。