目前我公司使用的网络全是静态IP地址,在公司里面有一台ASA5505防火墙,应领导要求,在该防火墙上面要限制某部份用户不能使用某些应用(如QQ农场等),而领导的计算机不做任何限制。为了实现这些功能,我们需要在ASA 5505防火墙上面做ARP绑定,然后再使用访问控制列表来对这些IP地址与MAC地址进行限制。具体配置很简单,那么下面就带大家一起来看看如何在ASA 5500防火墙上面配置ARP绑定呢?
ciscoasa# conf t
ciscoasa(config)# name 192.168.0.78 liuty-s //给我这个IP地址取一个名字
ciscoasa(config)# object-group network inside //建立一个对像组
ciscoasa(config-network)# network-object host 192.168.0.78 //将我的IP地址加入到该对像组中
ciscoasa(config-network)# exit
ciscoasa(config)# access-list inside line 1 per ip object-group inside any //访问控制列表,
允许oubject-group中的inside中的IP地址去访问任何地址
ciscoasa(config)# access-group inside in interface inside //将访问控制列表inside应用到inside的入口方向上面
ciscoasa(config)# arp inside 192.168.0.78 0023.14e7.bd10 //将该IP地址与MAC地址绑定 |
很简单的几条命令,我们就实现将下面PC的IP地址与MAC地址进行绑定了。下面我们来测试一下看看。刚才上面的IP地址与MAC地址是我笔记本无线网卡的IP地址与MAC地址(如下图)。
我们ping 192.168.0.199(防火墙内网接口地址)看看能否正常通信。
从上图我们可以看见,通过我们的无线网卡能够正常的去与我们防火墙内部接口正常通信。那么下面我将我无线网卡上面的IP地址换至有线网卡上面再测试,这样我有线网卡的MAC地址就不能与防火墙上面设置的MAC地址匹配(如下图)。
那么我们现在再来看看能不能正常进行通信呢(如下图)
从这里我们可以很明显的看见,他不能与我们防火墙进行通信,而这样就已经实现了IP地址与MAC地址对应以后才能正常通过防火墙出去。但是这样有一点我们大家很容易忽略的,就是我们只将我们需要用的地址进行IP与MAC绑定,而其他没有用的就没有绑,那么人有使用没有绑定IP地址与MAC地址的IP去访问互联网,是能够正常出去的。下面我们来试试,我现在将我的IP地址改成192.168.0.2,这个IP地址在我当前的网络中是没有使用的,在防火墙上面也没有对该IP地址进行MAC地址绑定。
这时候我们再ping一下防火墙的内网接口地址看看能否正常通信呢?
看看是不是能够正常通信呢?所以我们在配置这个的时候一定要注意,将没有启用的IP地址给他随便配置一个MAC地址,或者我们在写访问控制列表的时候,只允许启用了的IP地址经过防火墙出去,而没有启用的地址就给拒绝。
原文出处:http://ltyluck.blog.51cto.com/170459/348509