『組網(wǎng)需求』：
要求將客戶機(jī)"192.168.1.100"的MAC和IP地址綁定，來避免IP地址假冒攻擊的一種方式。
『配置實(shí)例』：
1．配置客戶機(jī)"192.168.1.100"的IP地址和MAC地址的綁定。
[Secpath]firewall mac-binding 192.168.1.100 000f-e200-da32
2．在系統(tǒng)視圖下使能地址綁定功能。
[Secpath]firewall mac-binding enable
3．查看綁定信息。
[Secpath]dis firewall mac-binding item
Firewall Mac-binding item(s) :
Current items : 1
192.168.1.100000f-e200-da32

『注意事項(xiàng)』：
1、在配置MAC和IP地址綁定時(shí)，同一個(gè)MAC地址可以同多個(gè)不同的IP地址綁定。
2、如果配置靜態(tài)ARP時(shí)已經(jīng)存在相同IP地址的地址綁定關(guān)系表項(xiàng)，該靜態(tài)ARP將配置失敗，同時(shí)返回提示信息；如果配置的地址綁定關(guān)系中的IP地址已經(jīng)存在于靜態(tài)ARP表中，則靜態(tài)ARP表中的表項(xiàng)將被刪除。
3、MAC和IP地址綁定對(duì)于PPPoE的地址是不起作用的，因?yàn)橐蕴珟厦娉休d的是PPP報(bào)文，所以無法進(jìn)行判斷和處理。
4、當(dāng)配置MAC和IP地址綁定功能后，下接所有客戶機(jī)都必須配置MAC和IP地址綁定，否則不可能過防火墻。
5、如果將PC的IP改為192.168.1.101，此時(shí)還可上網(wǎng)。這是因?yàn)榻壎P(guān)系中只以IP為索引進(jìn)行查找。不以mac為索引查找。所以只有當(dāng)發(fā)現(xiàn)IP為 192.168.1.100且其 MAC不是000f-e200-da32才不能上網(wǎng)。