图解ASA防火墙上进行ARP绑定.doc

《图解ASA防火墙上进行ARP绑定.doc》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、图解ASA防火墙上进行ARP绑定(图)目前我公司使用的网络全是静态IP地址，在公司里面有一台ASA5505防火墙，应领导要求，在该防火墙上面要限制某部份用户不能使用某些应用（如QQ农场等），而领导的计算机不做任何限制。为了实现这些功能，我们需要在ASA5505防火墙上面做ARP绑定，然后再使用访问控帛列表来对这些IP地址与MAC地址进行限制。具体配置很简单，那么下面就带大家一起来看看如何在ASA5500防火墙上面配置ARP绑定呢？ciscoasa#conftciscoasa(config)#name192.168.0.78liuty-s//给我这个IP地址取一个名字ciscoasa(confi

2、g)#object-groupnetworkinside//建立一个对像组ciscoasa(config-network)#network-objecthost192.168.0.78//将我的IP地址加入到该对像组中ciscoasa(config-network)#exitciscoasa(config)#access-listinsideline1peripobject-groupinsideany//访问控制列表，允许oubject-group中的inside中的IP地址去访问任何地址ciscoasa(config)#access-groupinsideininterfaceinside

3、 //将访问控制列表inside应用到inside的入口方向上面ciscoasa(config)#arpinside192.168.0.780023.14e7.bd10//将该IP地址与MAC地址绑定很简单的几条命令，我们就实现将下面PC的IP地址与MAC地址进行绑定了。下面我们来测试一下看看。刚才上面的IP地址与MAC地址是我笔记本无线网卡的IP地址与MAC地址（如下图）。我们ping192.168.0.199（防火墙内网接口地址）看看能否正常通信。从上图我们可以看见，通过我们的无线网卡能够正常的去与我们防火墙内部接口正常通信。那么下面我将我无线网卡上面的IP地址换至有线网卡上面再测试，这样

4、我有线网卡的MAC地址就不能与防火墙上面设置的MAC地址匹配（如下图）。那么我们现在再来看看能不能正常进行通信呢（如下图）从这里我们可以很明显的看见，他不能与我们防火墙进行通信，而这样就已经实现了IP地址与MAC地址对应以后才能正常通过防火墙出去。但是这样有一点我们大家很容易忽略的，就是我们只将我们需要用的地址进行IP与MAC绑定，而其他没有用的就没有绑，那么人有使用没有绑定IP地址与MAC地址的IP去访问互联网，是能够正常出去的。下面我们来试试，我现在将我的IP地址改成192.168.0.2，这个IP地址在我当前的网络中是没有使用的，在防火墙上面也没有对该IP地址进行MAC地址绑定。这时候我

5、们再ping一下防火墙的内网接口地址看看能否正常通信呢？看看是不是能够正常通信呢？所以我们在配置这个的时候一定要注意，将没有启用的IP地址给他随便配置一个MAC地址，或者我们在写访问控制列表的时候，只允许启用了的IP地址经过防火墙出去，而没有启用的地址就给拒绝。