Secpath典型配置之MAC和IP地址绑定

　　『组网需求』：

　　要求将客户机"192.168.1.100"的MAC和IP地址绑定，来避免IP地址假冒攻击的一种方式。

　　『配置实例』：

　　1．配置客户机"192.168.1.100"的IP地址和MAC地址的绑定。

　　[Secpath]firewall mac-binding 192.168.1.100 000f-e200-da32

　　2．在系统视图下使能地址绑定功能。

　　[Secpath]firewall mac-binding enable

　　3．查看绑定信息。

　　[Secpath]dis firewall mac-binding item

　　Firewall Mac-binding item(s) :

　　Current items : 1

　　192.168.1.100000f-e200-da32

　　『注意事项』：

　　1、在配置MAC和IP地址绑定时，同一个MAC地址可以同多个不同的IP地址绑定。

　　2、如果配置静态ARP时已经存在相同IP地址的地址绑定关系表项，该静态ARP将配置失败，同时返回提示信息；如果配置的地址绑定关系中的IP地址已经存在于静态ARP表中，则静态ARP表中的表项将被删除。

　　3、MAC和IP地址绑定对于PPPoE的地址是不起作用的，因为以太帧上面承载的是PPP报文，所以无法进行判断和处理。

　　4、当配置MAC和IP地址绑定功能后，下接所有客户机都必须配置MAC和IP地址绑定，否则不可能过防火墙。

　　5、如果将PC的IP改为192.168.1.101，此时还可上网。这是因为绑定关系中只以IP为索引进行查找。不以mac为索引查找。所以只有当发现IP为 192.168.1.100且其 MAC不是000f-e200-da32才不能上网。