在H3C防火墙与核心交换机之间桥接部署深信服上网行为管理设备时，设备工作在透明模式（二层桥接），默认无法直接获取三层设备的MAC地址。以下是实现三层MAC地址获取的详细方案：

一、网络拓扑与需求分析

典型部署拓扑为：
`
互联网 → H3C防火墙（三层路由） → 深信服设备（透明桥接） → 核心交换机（三层网关）
`

核心问题：
- 深信服设备工作在二层，只能看到直接相连设备的MAC地址
- 无法直接获取防火墙后的终端真实MAC地址
- 影响基于MAC地址的审计、管控策略

二、解决方案

方案1：ARP代答技术（推荐）

1. 原理：

• 在H3C防火墙上开启ARP代理功能

• 当深信服设备发送ARP请求时，防火墙代为响应终端MAC

2. H3C防火墙配置：
`
interface GigabitEthernet 0/1 # 连接深信服的接口
arp-proxy enable # 启用ARP代理
arp-proxy inner-sub-proxy enable # 启用子网内代理
`

1. 深信服设备配置：

• 登录Web控制台

• 进入【网络配置】→【部署模式】

• 启用【跨三层MAC识别】功能

• 添加H3C防火墙的IP地址作为SNMP查询点

方案2：SNMP跨三层MAC识别

1. 网络设备准备：

• 确保H3C防火墙和核心交换机开启SNMP服务

• 配置SNMP v2c或v3只读社区名

2. H3C设备SNMP配置示例：
`
snmp-agent
snmp-agent community read public # 配置只读社区名
snmp-agent sys-info version v2c # 使用v2c版本
snmp-agent target-host trap address udp-domain 192.168.1.100 params securityname public # 深信服设备IP
`

1. 深信服设备配置：

• 进入【系统】→【网络配置】→【跨三层MAC识别】

• 添加SNMP服务器：

• IP地址：H3C防火墙管理IP

• 端口：161（默认）

• 社区名：与防火墙配置一致

• OID：使用默认或根据设备型号选择

方案3：端口镜像辅助分析

1. 旁路部署镜像：

• 在核心交换机上配置端口镜像

• 将用户所在VLAN的流量镜像到深信服的监听口

2. H3C交换机镜像配置：
`
mirroring-group 1 remote-source # 创建远程镜像组
mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 both # 源端口
mirroring-group 1 monitor-port GigabitEthernet 1/0/24 # 目的端口（接深信服）
`

三、配置验证与优化

验证步骤：

1. 在深信服控制台查看【实时状态】→【在线用户列表】
2. 确认用户信息中已显示正确的MAC地址
3. 测试基于MAC地址的管控策略是否生效

性能优化建议：

• 调整SNMP查询间隔（建议30-60秒）
• 限制查询的IP地址范围
• 启用MAC地址老化机制
• 定期清理无效MAC表项

四、故障排查

常见问题及解决：

1. MAC地址显示不全：

• 检查防火墙ARP代理配置

• 验证SNMP连接状态

1. 性能影响：

• 减少SNMP查询频率

• 考虑使用端口镜像方案

1. 兼容性问题：

• 确认H3C设备型号支持的SNMP版本

• 联系深信服技术支持获取特定OID

五、安全注意事项

1. SNMP社区名使用强密码
2. 限制SNMP访问IP（仅允许深信服设备）
3. 定期更新设备固件
4. 审计日志中监控异常MAC获取行为

通过以上方案，可在桥接模式下准确获取三层网络的MAC地址，确保上网行为管理的完整性和准确性。建议首选方案1（ARP代答）与方案2（SNMP）结合使用，实现最佳效果。