图解ASA防火墙上进行ARP绑定

　　目前我公司使用的网络全是静态IP地址，在公司里面有一台ASA5505防火墙，应领导要求，在该防火墙上面要限制某部份用户不能使用某些应用(如QQ农场等)，而领导的计算机不做任何限制。为了实现这些功能，我们需要在ASA 5505防火墙上面做ARP绑定，然后再使用访问控帛列表来对这些IP地址与MAC地址进行限制。具体配置很简单，那么下面就带大家一起来看看如何在ASA 5500防火墙上面配置ARP绑定呢? ciscoasa# conf t

　　ciscoasa(config)# name 192.168.0.78 liuty-s //给我这个IP地址取一个名字

　　ciscoasa(config)# object-group network inside //建立一个对像组

　　ciscoasa(config-network)# network-object host 192.168.0.78 //将我的IP地址加入到该对像组中

　　ciscoasa(config-network)# exit

　　ciscoasa(config)# access-list inside line 1 per ip object-group inside any //访问控制列表，允许oubject-group中的inside中的IP地址去访问任何地址

　　ciscoasa(config)# access-group inside in interface inside //将访问控制列表inside应用到inside的入口方向上面

　　ciscoasa(config)# arp inside 192.168.0.78 0023.14e7.bd10 //将该IP地址与MAC地址绑定

　　很简单的几条命令，我们就实现将下面PC的IP地址与MAC地址进行绑定了。下面我们来测试一下看看。刚才上面的IP地址与MAC地址是我笔记本无线网卡的IP地址与MAC地址(如下图)。

　　我们ping 192.168.0.199(防火墙内网接口地址)看看能否正常通信。

　　从上图我们可以看见，通过我们的无线网卡能够正常的去与我们防火墙内部接口正常通信。那么下面我将我无线网卡上面的IP地址换至有线网卡上面再测试，这样我有线网卡的MAC地址就不能与防火墙上面设置的MAC地址匹配(如下图)。

　　那么我们现在再来看看能不能正常进行通信呢(如下图)

　　从这里我们可以很明显的看见，他不能与我们防火墙进行通信，而这样就已经实现了IP地址与MAC地址对应以后才能正常通过防火墙出去。但是这样有一点我们大家很容易忽略的，就是我们只将我们需要用的地址进行IP与MAC绑定，而其他没有用的就没有绑，那么人有使用没有绑定IP地址与MAC地址的IP去访问互联网，是能够正常出去的。下面我们来试试，我现在将我的IP地址改成192.168.0.2，这个IP地址在我当前的网络中是没有使用的，在防火墙上面也没有对该IP地址进行MAC地址绑定。

　　这时候我们再ping一下防火墙的内网接口地址看看能否正常通信呢?

　　看看是不是能够正常通信呢?所以我们在配置这个的时候一定要注意，将没有启用的IP地址给他随便配置一个MAC地址，或者我们在写访问控制列表的时候，只允许启用了的IP地址经过防火墙出去，而没有启用的地址就给拒绝。