目前我公司使用的網絡全是靜態IP地址,在公司裏面有一臺ASA5505防火牆,應領導要求,在該防火牆上面要限制某部份用戶不能使用某些應用(如QQ農場等),而領導的計算機不做任何限制。爲了實現這些功能,我們需要在ASA 5505防火牆上面做ARP綁定,然後再使用訪問控帛列表來對這些IP地址與MAC地址進行限制。具體配置很簡單,那麼下面就帶大家一起來看看如何在ASA 5500防火牆上面配置ARP綁定呢?
|
ciscoasa# conf t
ciscoasa(config)# name 192.168.0.78 liuty-s //給我這個IP地址取一個名字
ciscoasa(config)# object-group network inside //建立一個對像組
ciscoasa(config-network)# network-object host 192.168.0.78 //將我的IP地址加入到該對像組中
ciscoasa(config-network)# exit
ciscoasa(config)# access-list inside line 1 per ip object-group inside any //訪問控制列表,允許oubject-group中的inside中的IP地址去訪問任何地址
ciscoasa(config)# access-group inside in interface inside //將訪問控制列表inside應用到inside的入口方向上面
ciscoasa(config)# arp inside 192.168.0.78 0023.14e7.bd10 //將該IP地址與MAC地址綁定 |
很簡單的幾條命令,我們就實現將下面PC的IP地址與MAC地址進行綁定了。下面我們來測試一下看看。剛纔上面的IP地址與MAC地址是我筆記本無線網卡的IP地址與MAC地址(如下圖)。
我們ping 192.168.0.199(防火牆內網接口地址)看看能否正常通信。
從上圖我們可以看見,通過我們的無線網卡能夠正常的去與我們防火牆內部接口正常通信。那麼下面我將我無線網卡上面的IP地址換至有線網卡上面再測試,這樣我有線網卡的MAC地址就不能與防火牆上面設置的MAC地址匹配(如下圖)。
那麼我們現在再來看看能不能正常進行通信呢(如下圖)
從這裏我們可以很明顯的看見,他不能與我們防火牆進行通信,而這樣就已經實現了IP地址與MAC地址對應以後才能正常通過防火牆出去。但是這樣有一點我們大家很容易忽略的,就是我們只將我們需要用的地址進行IP與MAC綁定,而其他沒有用的就沒有綁,那麼人有使用沒有綁定IP地址與MAC地址的IP去訪問互聯網,是能夠正常出去的。下面我們來試試,我現在將我的IP地址改成192.168.0.2,這個IP地址在我當前的網絡中是沒有使用的,在防火牆上面也沒有對該IP地址進行MAC地址綁定。
這時候我們再ping一下防火牆的內網接口地址看看能否正常通信呢?
看看是不是能夠正常通信呢?所以我們在配置這個的時候一定要注意,將沒有啓用的IP地址給他隨便配置一個MAC地址,或者我們在寫訪問控制列表的時候,只允許啓用了的IP地址經過防火牆出去,而沒有啓用的地址就給拒絕。
本文出自 “網絡乄醜” 博客,請務必保留此出處http://ltyluck.blog.51cto.com/170459/348509