Cisco Cisco ASA 5555-X Adaptive Security Appliance - No Payload Encryption 快速安装指南
5-10
思科 ASA 系列常规操作 CLI 配置指南
第 5 章 透明或路由防火墙模式
自定义透明防火墙的 MAC 地址表
详细步骤
示例
例如,如要在外部接口上启用 ARP 检测并丢弃所有不匹配的 ARP 数据包,请输入以下命令:
ciscoasa(config)# arp-inspection outside enable no-flood
自定义透明防火墙的 MAC 地址表
本节介绍如何自定义 MAC 地址表。
•
•
•
添加静态 MAC 地址
通常情况下,当来自特定 MAC 地址的流量进入某个接口时,MAC 地址会动态添加到 MAC 地址
表中。如有必要,您可以将静态 MAC 地址添加到 MAC 地址表中。添加静态条目的一个好处是,
可以防止 MAC 欺骗。如果与静态条目具有相同 MAC 地址的客户端尝试向不匹配静态条目的接口
发送流量,ASA 会丢弃这些流量并生成系统消息。当您添加静态 ARP 条目时(请参阅
表中。如有必要,您可以将静态 MAC 地址添加到 MAC 地址表中。添加静态条目的一个好处是,
可以防止 MAC 欺骗。如果与静态条目具有相同 MAC 地址的客户端尝试向不匹配静态条目的接口
发送流量,ASA 会丢弃这些流量并生成系统消息。当您添加静态 ARP 条目时(请参阅
),静态 MAC 地址条目会自动添加到 MAC 地址表中。
如要将静态 MAC 地址添加到 MAC 地址表中,请输入以下命令:
命令
用途
arp-inspection
interface_name enable
[flood | no-flood]
示例:
ciscoasa(config)# arp-inspection outside
enable no-flood
启用 ARP 检测。
flood 关键字将不匹配的 ARP 数据包转发出所有接口,no-flood 关键字
丢弃不匹配的数据包。
丢弃不匹配的数据包。
注
默认设置是以泛洪方式传输不匹配的数据包。要将通过 ASA 的
ARP 限制为仅限于静态条目,请将此命令设置为 no-flood。
ARP 限制为仅限于静态条目,请将此命令设置为 no-flood。
命令
用途
mac-address-table static
interface_name
mac_address
示例:
ciscoasa(config)# mac-address-table static
inside 0009.7cbe.2100
添加静态 MAC 地址条目。
interface_name 是源接口。