图解ASA防火墙上进行ARP绑定

      目前我公司使用的网络全是静态IP地址，在公司里面有一台ASA5505防火墙，应领导要求，在该防火墙上面要限制某部份用户不能使用某些应用（如QQ农场等），而领导的计算机不做任何限制。为了实现这些功能，我们需要在ASA 5505防火墙上面做ARP绑定，然后再使用访问控帛列表来对这些IP地址与MAC地址进行限制。具体配置很简单，那么下面就带大家一起来看看如何在ASA 5500防火墙上面配置ARP绑定呢？

ciscoasa# conf t ciscoasa(config)# name 192.168.0.78 liuty-s //给我这个IP地址取一个名字 ciscoasa(config)# object-group network inside //建立一个对像组 ciscoasa(config-network)# network-object host 192.168.0.78 //将我的IP地址加入到该对像组中 ciscoasa(config-network)# exit ciscoasa(config)# access-list inside line 1 per ip object-group inside any //访问控制列表，允许oubject-group中的inside中的IP地址去访问任何地址 ciscoasa(config)# access-group inside in interface inside  //将访问控制列表inside应用到inside的入口方向上面 ciscoasa(config)# arp inside 192.168.0.78 0023.14e7.bd10 //将该IP地址与MAC地址绑定

很简单的几条命令，我们就实现将下面PC的IP地址与MAC地址进行绑定了。下面我们来测试一下看看。刚才上面的IP地址与MAC地址是我笔记本无线网卡的IP地址与MAC地址（如下图）。

我们ping 192.168.0.199（防火墙内网接口地址）看看能否正常通信。

从上图我们可以看见，通过我们的无线网卡能够正常的去与我们防火墙内部接口正常通信。那么下面我将我无线网卡上面的IP地址换至有线网卡上面再测试，这样我有线网卡的MAC地址就不能与防火墙上面设置的MAC地址匹配（如下图）。

那么我们现在再来看看能不能正常进行通信呢（如下图）

从这里我们可以很明显的看见，他不能与我们防火墙进行通信，而这样就已经实现了IP地址与MAC地址对应以后才能正常通过防火墙出去。但是这样有一点我们大家很容易忽略的，就是我们只将我们需要用的地址进行IP与MAC绑定，而其他没有用的就没有绑，那么人有使用没有绑定IP地址与MAC地址的IP去访问互联网，是能够正常出去的。下面我们来试试，我现在将我的IP地址改成192.168.0.2，这个IP地址在我当前的网络中是没有使用的，在防火墙上面也没有对该IP地址进行MAC地址绑定。

这时候我们再ping一下防火墙的内网接口地址看看能否正常通信呢？

看看是不是能够正常通信呢？所以我们在配置这个的时候一定要注意，将没有启用的IP地址给他随便配置一个MAC地址，或者我们在写访问控制列表的时候，只允许启用了的IP地址经过防火墙出去，而没有启用的地址就给拒绝。