на самом деле ситуация действительно противоречит принципам безопасности, но встречается достаточно часто например при подключении у клиента PC и ноутбука, а идентификация клиентов идет по ip (т.е. нежелательна выдача второго ip)

С праздником всех любителей D-Linkа!
Кстати когда будет обещаный подарок ввиде новой FW для DES-3526

думаю, к середине ноября будет релиз. beta FW могу выслать уже сейчас.

_________________
С уважением, Карагезов Владислав

А когда можно будет попробывать новый алгоритм IP-MAC привязки для 3828 ?
и если есть бета на 3526 можно ли описание изменений посмотреть хоть для этого коммутатора ?

расширение IP-MAC-Port Binding для DES-3828 будет в новом релизе, намечен на конец этого года.
По поводу изменений в FW для DES-3526:
1. IP-MAC-Port Binding
2. Loopback detection - будет называться Loopback Guard

_________________
С уважением, Карагезов Владислав

Т.е. пока обоюдной работы IP-MAC и Port Sec. нет даже в бете ?
В принципе это планируеться ?

Я Вам выслал!

Интересно узнать, а у чего более высокий приоритет, у Port Security или у IP-MAC Binding? Как вообще должны вести себя эти функции вместе?

Как пример: переводим свитч на новую прошивку. Все порты в Port Security установлены в Enabled - 1 - Permanent. Прописываем каждому порту привязку MAC-IP. При этом случайно ошибаемся в одном из MAC-адресов. Что забавно, клиент продолжает работать. Правда, как-то коряво. То нормально, то возникают проблемы со связью. При этом в трапс валятся логи плана
02 00 08 c8 01 23 45 00 01 00 01 00 01 00 08 c8 01 23 45 00 01 00 01 00, т.е. в одном сообщении отключение и включение мак-адреса на порту. Как вообще должно быть на самом деле?

Я же уже говорил, что теперь есть одна функция IP-MAC-Port Binding

Иван, прочтите предыдущее сообщение внимательнее. Потом включите 3526 с новой прошивкой, которую Вы так любезно мне прислали. И убедитесь, что функция Port Security, слава Богу, никуда не делась.

Обязательно проверим. О результатах напишу здесь.

По следам вчерашних событий в сети, огрмнейшая просьба, можно ограничить действие привязки IP-MAC конкретными виланами. Иначе в случае нештатной ситуации не добраться в управляющий вилан новым оборудованием. Пришлось лезть на чердак вчера. Час простоя и потерянного времени на ровном месте Да и вообще смысл забивать множественные привязки мас-ip для сети за роутером(мас один а айпишников много).

2 Marauder:
Включил функцию Port Security с одним адресом на порту (выключил Learning), включил IP-MAC-Port Binding с неправильным MAC-ом и он заблокировался
2 tracert:
В настоящее время не видим целесообразности добавления этой возможности

Ок, давайте тогда договоримся МАС привязка к порту делается на фактически конечных юзерских портах. Это гарантирует что с левыми МАС адрессами пользователи у нас не ходят. Затем привязка MAC-IP на магистральных портах гарантирует то, что нормально в сети работают только правильные пользователи. Т.е само собой разумеется что работа МАС-IP биндинга будет проходить на магистральных портах.(На юзерских проще один ACL добавить и успокоиться). Отсюда активация MAC-IP биндинга на магистральном порту затронет ВСЕ виланы на нем проходящие. Тегированные и не тегированные. А зачем это нужно. В том варианте как у меня сейчас есть, при активации порт секурити не прописанные МАС адресса, сразу идут в блок лист. То что вроде бы не плохо для пользовательского вилана, совсем не подходит для инетного например (IP много и они случайные а МАС то один - мас маршрутизатора), ну и в таком духе в общем ....
А вы пишете нет смысла

Если честно, не совсем понял мысль автора
Все функции, обеспечивающие безопасность, можно включать ВЫБОРОЧНО на конкретных портах, так что особой проблемы не вижу.

_________________
С уважением, Карагезов Владислав