Можно ли на DES-3828 сделать такие настройки, чтобы в ARP таблице одному MAC-адресу соответствовал только один IP-адрес. Нам нужно отсечь ситуацию: 1 MAC - несколько IP.

IP-MAC-Binding не пробовали?

Пробовали - не помогает. Даже в режиме strict.

Какая у Вас версия прошивки? IMP должно помогать. Опишите пожалуйста как настраивали?

На DES-3828
Boot PROM Version : Build 0.00.010
Firmware Version : Build 4.01.B47
Hardware Version : 1A2

На DES-3526
Boot PROM Version : Build 3.00.008
Firmware Version : Build 5.01-B09
Hardware Version : A4

Схема сети: в центре стоит 3828 работающий как шлюз, к нему подключены порядка 20 3526, далее подключены неуправляемые коммутаторы.
IMB используется на 3526 (в режиме strict, что к сожалению не решает проблему).
Проблема заключается в следующем: в сети появился вирус использующий ARP-spoofing ARP-poisoning, атака вируса приводит к тому, что весь сетевой трафик идет через зараженный компьютер.
На 3828 - это приводит к тому, что в ARP-таблице MAC-адресу зараженного компьютера соответствуют почти все IP-адреса атакуемых пользователей.
На уровне 3526, мы не даем вирусу подменять IP-адрес шлюза 3828. Количество компьютеров подключенных к 3828 порядка 1500. Что не позволяет включить на нем IMB.

IMP в режиме ACL или ARP? при ACL такое не должно прокатывать

Собрали тестовый стенд.

3828 (00-1c-f0-1d-48-41):
подняли 2 сети, включили ospf,
к одной из сети (10.20.20.0/24) подключили 3526 с клиентами один из которых заражен

3526:
config address_binding ip_mac ports 1-8 state enable strict
enable address_binding acl_mode
create address_binding ip_mac ipaddress 10.20.20.6 mac_address 00-14-78-04-50-4F ports 4 mode acl

подключили зараженный комп. К порту 4 на котором как раз и настроен imb

к сожалению это не помогло на 3828 в arp таблице всё равно появляются записи о том, что mac адресу зараженного компа соответствует ip нормального клиента

ARP Aging Time : 40

Interface IP Address MAC Address Type
------------- --------------- ----------------- ---------------
gugu 10.20.20.0 FF-FF-FF-FF-FF-FF Local/Broadcast
gugu 10.20.20.1 00-1C-F0-1D-48-41 Local
gugu 10.20.20.6 00-14-78-04-50-4F Dynamic <- зараженный
gugu 10.20.20.212 00-14-78-04-50-4F Dynamic <- нормальный
gugu 10.20.20.255 FF-FF-FF-FF-FF-FF Local/Broadcast



если смотреть windump Ом то видно что зараженный компьютер шлёт на шлюз arp ответы вида:

windump: listening on \Device\NPF_{8DE702C4-667C-4124-8CBC-6CBE51E604BF}
12:55:31.960413 00:14:78:04:50:4f >00:1c:f0:1d:48:41, ethertype ARP (0x0806), length 42: arp reply 10.20.20.212 is-at 00:14:78:04:50:4f
0x0000: 001c f01d 4841 0014 7804 504f 0806 0001 ....HA..x.PO....
0x0010: 0800 0604 0002 0014 7804 504f 0a14 14d4 ........x.PO....
0x0020: 001c f01d 4841 0a14 1401 ....HA....

На мой взгляд всё дело именно в этом. Зараженный комп просто анонсирует свой мак с чужими ip .

Попробуйте пожалуйста прошивки которые я Вам выслал.

А подскажите, как можно зажать ip-mac без IMP. Суть в том - на порту 3627G есть абоненты, которых надо зажать, и которых зажимать не надо. При включении IMP на конкретном порту в режиме ACL те, кого зажали - работают нормально, кого не зажали - не работают вообще.
Если можно пример правила.

Можно с помощью ACL PCF.

_________________
С уважением,
Бигаров Руслан.