透明部署的防火墙的 ARP 绑定问题

使用vFW2000测试，G1/0 为管理口（192.168.100.1/24），G2/0（Untrust）和G3/0（Trust）为设置为二层，ACCESS口 VLAN1。

安全策略Trust到Untrust可以限制通过的IP。

需求：希望通过的 IP 和 MAC 绑定的。这样可以让IP-MAC未绑定的客户设备无法通过防火墙。

操作步骤：在防火墙的 网络－》ARP中，开启 IP-MAC绑定以后，默认动作设为丢弃，如果未加入IP-MAC绑定列表的设备，无法通过G1/0连接到防火墙，对G3/0进入，G2/0出来的设备同样有作用。问题来了，如果加入了IP-MAC绑定列表的设备，G1/0可以正常通过，G3/0-G2/0的设备仍然不能通过，实际上G3/0连接的设备的IP-MAC已经设置了绑定，但是奇怪没有作用。

另一个方案：不用在WEB上开启ARP的IP-MAC绑定。而是在在命令行，为G3/0口使用命令： ip verify source ip-address mac-address    ，  开启 IP Source Guard，然后再输入对应的IP和MAC地址： ip source binding ip-address 10.1.1.111 mac-address 0221-1103-0221，这样操作下来，G3/0对应的设备就可以控制对应的IP和MAC通过。

只是这个没有WEB界面可操作，对于数量多的设备时就显得维护不方便。不知是WEB 中的IP-MAC绑定这个功能是否只能用于三层口连接的设备。