目前我公司使用的網(wǎng)絡(luò)全是靜態(tài)IP地址，在公司里面有一臺(tái)ASA5505防火墻，應(yīng)領(lǐng)導(dǎo)要求，在該防火墻上面要限制某部份用戶不能使用某些應(yīng)用（如QQ農(nóng)場(chǎng)等），而領(lǐng)導(dǎo)的計(jì)算機(jī)不做任何限制。為了實(shí)現(xiàn)這些功能，我們需要在ASA 5505防火墻上面做ARP綁定，然后再使用訪問(wèn)控帛列表來(lái)對(duì)這些IP地址與MAC地址進(jìn)行限制。具體配置很簡(jiǎn)單，那么下面就帶大家一起來(lái)看看如何在ASA 5500防火墻上面配置ARP綁定呢？

ciscoasa# conf t
ciscoasa(config)# name 192.168.0.78 liuty-s //給我這個(gè)IP地址取一個(gè)名字
ciscoasa(config)# object-group network inside //建立一個(gè)對(duì)像組
ciscoasa(config-network)# network-object host 192.168.0.78 //將我的IP地址加入到該對(duì)像組中
ciscoasa(config-network)# exit
ciscoasa(config)# access-list inside line 1 per ip object-group inside any //訪問(wèn)控制列表，允許oubject-group中的inside中的IP地址去訪問(wèn)任何地址
ciscoasa(config)# access-group inside in interface inside  //將訪問(wèn)控制列表inside應(yīng)用到inside的入口方向上面
ciscoasa(config)# arp inside 192.168.0.78 0023.14e7.bd10 //將該IP地址與MAC地址綁定

很簡(jiǎn)單的幾條命令，我們就實(shí)現(xiàn)將下面PC的IP地址與MAC地址進(jìn)行綁定了。下面我們來(lái)測(cè)試一下看看。剛才上面的IP地址與MAC地址是我筆記本無(wú)線網(wǎng)卡的IP地址與MAC地址（如下圖）。

我們ping 192.168.0.199（防火墻內(nèi)網(wǎng)接口地址）看看能否正常通信。

從上圖我們可以看見(jiàn)，通過(guò)我們的無(wú)線網(wǎng)卡能夠正常的去與我們防火墻內(nèi)部接口正常通信。那么下面我將我無(wú)線網(wǎng)卡上面的IP地址換至有線網(wǎng)卡上面再測(cè)試，這樣我有線網(wǎng)卡的MAC地址就不能與防火墻上面設(shè)置的MAC地址匹配（如下圖）。

那么我們現(xiàn)在再來(lái)看看能不能正常進(jìn)行通信呢（如下圖）

從這里我們可以很明顯的看見(jiàn)，他不能與我們防火墻進(jìn)行通信，而這樣就已經(jīng)實(shí)現(xiàn)了IP地址與MAC地址對(duì)應(yīng)以后才能正常通過(guò)防火墻出去。但是這樣有一點(diǎn)我們大家很容易忽略的，就是我們只將我們需要用的地址進(jìn)行IP與MAC綁定，而其他沒(méi)有用的就沒(méi)有綁，那么人有使用沒(méi)有綁定IP地址與MAC地址的IP去訪問(wèn)互聯(lián)網(wǎng)，是能夠正常出去的。下面我們來(lái)試試，我現(xiàn)在將我的IP地址改成192.168.0.2，這個(gè)IP地址在我當(dāng)前的網(wǎng)絡(luò)中是沒(méi)有使用的，在防火墻上面也沒(méi)有對(duì)該IP地址進(jìn)行MAC地址綁定。

這時(shí)候我們?cè)賞ing一下防火墻的內(nèi)網(wǎng)接口地址看看能否正常通信呢？

看看是不是能夠正常通信呢？所以我們?cè)谂渲眠@個(gè)的時(shí)候一定要注意，將沒(méi)有啟用的IP地址給他隨便配置一個(gè)MAC地址，或者我們?cè)趯?xiě)訪問(wèn)控制列表的時(shí)候，只允許啟用了的IP地址經(jīng)過(guò)防火墻出去，而沒(méi)有啟用的地址就給拒絕。

本文出自 “網(wǎng)絡(luò)乄醜” 博客，http://ltyluck.blog./170459/348509

網(wǎng)頁(yè)名稱：圖解ASA防火墻上進(jìn)行ARP綁定
地址分享：http://uogjgqi.cn/article/ccsdgpj.html