 |
『组网需求』:
要求将客户机"192.168.1.100"的MAC和IP地址绑定,来避免IP地址假冒攻击的一种方式。
『配置实例』:
1.配置客户机"192.168.1.100"的IP地址和MAC地址的绑定。
[Secpath]firewall mac-binding 192.168.1.100 000f-e200-da32
2.在系统视图下使能地址绑定功能。
[Secpath]firewall mac-binding enable
3.查看绑定信息。
[Secpath]dis firewall mac-binding item
Firewall Mac-binding item(s) :
Current items : 1
192.168.1.100000f-e200-da32
『注意事项』:
1、在配置MAC和IP地址绑定时,同一个MAC地址可以同多个不同的IP地址绑定。
2、如果配置静态ARP时已经存在相同IP地址的地址绑定关系表项,该静态ARP将配置失败,同时返回提示信息;如果配置的地址绑定关系中的IP地址已经存在于静态ARP表中,则静态ARP表中的表项将被删除。
3、MAC和IP地址绑定对于PPPoE的地址是不起作用的,因为以太帧上面承载的是PPP报文,所以无法进行判断和处理。
4、当配置MAC和IP地址绑定功能后,下接所有客户机都必须配置MAC和IP地址绑定,否则不可能过防火墙。
5、如果将PC的IP改为192.168.1.101,此时还可上网。这是因为绑定关系中只以IP为索引进行查找。不以mac为索引查找。所以只有当发现IP为 192.168.1.100且其 MAC不是000f-e200-da32才不能上网。
