【求助】PIX515-E上做ARP地址绑定问题！！急，在线等待！！

PIX Version 6.3(3)
) K) q3 p4 N  ~# Binterface ethernet0 auto
interface ethernet1 100full
interface ethernet2 auto shutdown
/ v1 J2 Q: |# ?1 |+ S! snameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
6 Y6 X4 b6 R) K) denable password g1vsSglS6RRKRfvz encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
0 `( e! V% y7 ^2 c# A/ h2 J1 Z) q$ qhostname pix515e
" E  X% V& S/ S' G6 v% ?  Pdomain-name www.hymaco.com
8 r& F5 U$ I6 N% {fixup protocol dns maximum-length
fixup protocol ftp 21
fixup protocol h323 h225 1720
2 A1 h- i; ]- r7 P3 a/ m4 Lfixup protocol h323 ras 1718-1719
% w* Y$ e3 \/ R) j' b+ J+ k$ @fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
" k7 a- ^7 J# E$ K+ m2 P% ?* Xfixup protocol sip 5060
8 t5 ?# m% r" c- ]+ Ufixup protocol sip udp 5060
no fixup protocol skinny 2000
/ l! F" X& Y0 i; F! @" lfixup protocol smtp 25
) _) q9 j8 u) f! {% d1 a/ ~fixup protocol sqlnet 1521
3 H6 a. q% f5 F0 Sfixup protocol tftp 69
# F3 G) G& _1 L# r* f( J5 cnames
access-list 100 permit ip any any
9 G8 I+ ?: w. a" X' S4 h% C1 {; c: Npager lines 24
2 s% w4 M0 s9 m# M8 u; I) Jmtu outside 1500
& A7 P! h6 v& d- C2 cmtu inside 1500
mtu intf2 1500
ip address outside 61.187.182.70 255.255.255.192
* [, N1 Y7 J4 }6 d; C* B# w  Sip address inside 192.168.48.3 255.255.255.248
no ip addres
! R; S# S8 x/ S) t* e$ u5 s3 `/ oip audit info action alarm
ip audit attack action alarm
pdm history enable
8 l( t8 B! n# }arp timeout 14400
/ S. U7 G9 l5 C. }global (outside) 1 61.187.182.71
nat (inside) 1 192.168.5.58 255.255.255.255 0 0
+ N- a3 M+ j* _. a5 g  o" f6 `/ Pnat (inside) 1 192.168.8.6 255.255.255.255 0 0
. c; A3 E9 L  s; Z& p7 M$ pnat (inside) 1 192.168.8.10 255.255.255.255 0 0
( i$ Y3 I  [1 }6 Tnat (inside) 1 192.168.48.0 255.255.255.248 0 0
4 @/ @) G, r# Z) Xnat (inside) 1 192.168.1.0 255.255.255.0 0 0
4 V% V5 W" Z+ o$ e$ x7 P  k) o0 d0 Jnat (inside) 1 192.168.2.0 255.255.255.0 0 0
3 k' S) i9 G& J3 N& Hnat (inside) 1 192.168.3.0 255.255.255.0 0 0
nat (inside) 1 192.168.4.0 255.255.255.0 0 0
nat (inside) 1 192.168.27.0 255.255.255.0 0 0
- ?0 L. U2 y( p9 N/ N4 bnat (inside) 1 192.168.70.0 255.255.254.0 0 0
nat (inside) 1 192.168.72.0 255.255.254.0 0 0
nat (inside) 1 192.168.74.0 255.255.254.0 0 0
nat (inside) 1 192.168.76.0 255.255.254.0 0 0
' _4 X3 }3 u8 F0 Mstatic (inside,outside) tcp 61.187.182.68 smtp 192.168.1.3 smtp netmask 255.255.
4 k5 V8 d$ W# t0 a2 \8 H255.255 0 0
static (inside,outside) tcp 61.187.182.68 pop3 192.168.1.3 pop3 netmask 255.255.
! ~% Q4 K! o4 g6 f2 u255.255 0 0
static (inside,outside) tcp 61.187.182.68 8080 192.168.1
255.255 0 0
& a9 a$ z* Q2 q0 N: ^/ D' }% y# C3 P( fstatic (inside,outside) tcp 61.187.182.68 www 192.168.1.2 www netmask 255.255.25
5.255 0 0
static (inside,outside) tcp 61.187.182.68 ftp 192.168.1.3 ftp netmask 255.255.25
3 v' [  v7 J. f# K5.255 0 0
/ e5 u; m9 o( \+ r7 s* I; H2 R5 Estatic (inside,outside) tcp 61.187.182.68 2080 192.168.1.3 2080 netmask 255.255.
5 r" Q1 |$ i" l0 H$ F255.255 0 0
% k4 {+ k1 i) ~9 Y  T/ paccess-group 100 in interface outside
5 Q+ B7 j8 ?6 X, @+ waccess-group 100 in interface inside
" ~7 D/ e) t4 w1 ^- Y# H. Q- Lconduit permit icmp any any
* K& S% G: t5 m, L7 V5 wrouter ospf 1
network 192.168.48.0 255.255.255.248 area 0
router-id 1.1.1.1
( ]& D% R" x5 X# ?6 Y log-adj-changes
6 X! z8 A1 T- p) v1 E3 d redistribute connected
6 ~1 x$ L9 l" T; m. j( D. }) groute outside 0.0.0.0 0.0.0.0 61.187.182.65 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
, S8 r0 \' T) ?2 t7 L8 Q) H% w& gtimeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
. j! v. D! h- U2 ]timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
8 X& H- Z/ B/ p+ w* P# E1 k! q- xaaa-server RADIUS protocol radius
+ A9 r( z7 \$ g: c- w9 ~8 ^2 Paaa-server LOCAL protocol local
5 }# P' X. ~4 g; b& {1 V/ |! J# Wno snmp-server location
no snmp-server contact
" k* y* f$ w9 o3 \7 d% Tsnmp-server community public
+ |) O/ ^: H8 x' _2 q8 g+ ?no snmp-server enable traps
floodguard enable
8 J, Z: C( z5 F4 J0 i9 j1 wtelnet 192.168.76.0 255.255.254.0 inside
& l9 r+ }$ B8 X- B' n( O. htelnet 192.168.48.0 255.255.255.248 inside
& P0 N. V2 \+ Itelnet 192.168.3.0 255.255.255.0 inside
telnet timeout 5
, y+ |9 H5 C& o+ z# W& A+ ~  l2 Lssh timeout 5
) R2 i' b* n8 s  {; y" Y6 [- Aconsole timeout 0
terminal width 80
Cryptochecksum:36160959adc028535def9db74bbde3ef
1 t2 H& M+ U% N6 [: end

这个是我现在的配置，我在做想做MAC地址绑定给指定的客户机上网。因为用
nat (inside) 1 192.168.1.18 255.255.255.255
# q: U. U  m8 Z5 e当这台机子不上网的时候，他可以改成其他的IP地址，让别的机子改成他的IP地址上网，所以我想用ARP绑定MAC+IP地址。
  v% ~) h& K; M3 t- J我用
6 z( t1 E7 U) O" Jarp inside 192.168.17.18 00e0.4c7b.0685 alias
提示：Network IP address  is not allowed
. R& w9 o- @4 E4 ]; g允许的IP地址，请大虾指点啊。。。急！~！！！！

ip address inside 192.168.48.3 255.255.255.248
' i4 A0 Q# Y4 \& R那么就是说只有192.168.48.1-6的地址才能访问到网关~
* I. E1 B9 a/ X0 O" A' F不知道那么多地址是怎么过来的?

你的IP是路由过来的，没有2层地址，不能在PIX绑定。考虑在三层交换作绑定。

我知道了~~PIX下面接了一个三层设备吧!!

mac bind是在sw上的，router or firewall应该没有此类功能。

自己加上去的，把允许上网的网段的地址段全部都打开！！！

能把网络结构图说一下吗?下面联了什么设备?

引用:                                                                                                                                作者: 老龙                                                                                                                                                                                                        我知道了~~PIX下面接了一个三层设备吧!!                                                                                                                PIX下面接的华为的2403H-EI的，在下面接了2台华为的6506R做的冗于！！

PIX515E---华为2403H-EI---CISCO3550--DLINK3226S
现在想实现MAC+IP地址绑定，就是指定IP，当别的机子用这个IP的时候不能上网就是了。
, e: k) k; P+ i也就是说这个IP地址只能在这台机子上用，到了别的机子上就用不了。
0 U0 ~) R& D3 ~* t! v4 |; H5 W有什么好的实现方法！！！

看来还是要在交换机上弄呀~~