Есть общее ограничение в 512 записей на коммутатор, ограничений по портам нет

_________________
С уважением, Карагезов Владислав

Свич 3526, прошивка 3.05-B09. Я сижу на 1-м порту, другое устройство на 3-м. Во вкладке IP-MAC Binding Port включен 3-й порт. Для IP другого компа установлена IP-MAC Binding на заведомо неправильный МАС. Пинги идут.
При этом если я ставлю IP-MAC Binding Port на свой порт и ставлю пару мой IP и левый мак - туда пинги не идут.

А вообще - для работы IP-MAC Binding в IP-MAC Binding Port должны быть включеный оба порта или один, на котором сидит уст-во которому надо сделать привязку?

а подробнее? мало что понятно из описания. желательно со схемой и конфигами

_________________
С уважением, Карагезов Владислав

Вот тут с картинками.

Вы бы в своих экспериментах МАС 00:dd:00:00:00:00 сменили на что-нибудь более подходящее для реальной жизни
Ну и во-вторых - у меня в тестах все работает должным образом, проверяйти еще раз всои конфиги

_________________
С уважением, Карагезов Владислав

А в чем разница? Поменял на отличающийся от реального на 1 цифру. Без изменений.
Киньте Ваш конфиг, я посмотрю как должно быть.

Может поможет - а ARP таблице этот комп (сетевая активность есть - пинги и фтп скачка) появляется не сразу, а через неопределенный промежуток. Даже если никакого IP-MAC биндинга не настроено.
Есть подозрение, что IP-MAC биндинг работает по ARP запросам, т.е. пока комп по АРП ничего не спросит, его IP-MAC биндинг не блокирует.
Т.е. прописав статически все что нужно (шлюз) можно спокойно этот биндинг обходить. Получается, что контролируются не проходищие пакеты на IP-MAC, а только АРП запросы, и в случае несовпадения идет блокировка по МАСу?

Тестировали сегодня IP-mac binding, получили интересный результат, блокирование работает только при включеном port-security на порту на котором происходит нарушение, в том случае если port-security на порту не включен, то блокирования нарушителя не происходит, это нормальное поведение?

а подробнее? что подразумевается под ", блокирование работает только при включеном port-security на порту "
методика тестирования, так сказать

_________________
С уважением, Карагезов Владислав

Настраиваем address_binding и port_security

create address_binding ip_mac ipaddress 192.168.1.1 mac_address 00-12-DC-85-55-59
config address_binding ip_mac ports 2 state enable
config port_security ports 2 admin_state enable lock_address_mode Permanent

Подключаем ко второму порту тестовую машину А с IP 192.168.1.1 и MAC 00-12-DC-85-55-59 делаем ping на 192.168.1.2 (тестовая машина B) подключеный к первому порту - пинг идет все хорошо.

Меняем адрес машины А на 192.168.1.3 - пинг перестает идти, но MAC не появляется в списке заблокированых, отключаем port_security (config port_security ports 2 admin_state disable lock_address_mode DeleteOnTimeout) - пинг появляется вновь.

Firmware 3.05-B09

ок, проверим.
Совместное использование IP-MAC Binding и Port Security - временный workaround, сейчас идет работа над прошивкой с поддержкой IP-MAC-Port Binding, думаю, это будет более удобно - настраивать все в одном месте.

_________________
С уважением, Карагезов Владислав

Ну зачем же удалять сообщение клиента, собиравшегося приобрести несколько сотен 3526 и нашедшего дыру в софте.
В таких случаях полагается расспросить и разобраться в проблеме.

В том то и дело, что нам нужна именно работа IP-MAC Binding без Port Security на портах к которым будут подключены 3226S и 30ХХ и с Port Security на портах в которые будут непосредственно включены клиенты, а так получается, что в непосредственных портах контроль IP-MAC возможен, а на портах в которые включены подчиненные коммутаторы нет.

прошу прощения, видимо по ошибке, когда отвечал Олегу вчера.
описание предполагаемой "дыры" можно более детальное? желательно - по почте.

_________________
С уважением, Карагезов Владислав

Олег, можете по почте или телефону уточнить детали - так будет быстрее.
Спасибо.

_________________
С уважением, Карагезов Владислав