Функция IP-MAC binding включенная на порту затрагивает все виланы проходящие через этот порт. В ряде случаев невозможно для определенных виланов перечислить все возможные комбинации мас-ip, хотя для других на этом же порту фильтрация должна быть. Отсюда желдание либо ограничивать работу функции конкретними виланами, либо не трогать и не блочить не описанные МАС адреса вовсе.

ну так не включайте функцию на uplink порту! достаточно будет контроллировать клиентские порты, я так думаю.

_________________
С уважением, Карагезов Владислав

http://www.dlink.ru/technical/faq_hub_switch_50.php

вот схема такая же(рекомендованная Д-Линком, как написано в соседнем топике), только у меня на 3526 выведен десяткок 3326 к которым подключены клиенты, а на 3526 хочется контроллировать еще и привязки IP-МАС адресcов. Привязки МАС-port делают 3226. Еще раз прощу обратить внимение, что использовать IP-MAC биндинг на юзерских портах нет смысла, через ACL намного проще, понятнее и надежнее ибо можно привязать IP-MAC-Port. Функция IP-MAC Binding, как я понимаю, по замуслу разработчиков для защиты именно магистральных линков, и отсутвие прямой привязки к порту - лишнее тому доказательство. Но есть недоделка, и заключается она в том, что либо надо контроллировать только прописаные мак адресса, либо включать эту функцию на конкретных виланах а не на портах. В итоге будем иметь вилан Users контроль мас-IP есть, вилан манежмент контроля нет, вилан Интернет - контроля нет (и быть не может Интернетные IP с мас адрессом роутера идут).

Я уже сказал, смысла делать эту функцию я не вижу.
Возможно, у Вас реализована какая-то своя схема, но изначально DES-3526 - это свич ДОСТУПА! И IP-MAC Binding там имеено для контроля конечных пользователей.
Что касается якобы "недоработки" изначально функции и не включения туда еще и порта - это не недоработка, а просто развитие функционала. Сейчас IP-MAC-Port Binding - полноценная функция коммутатора.
Использовать ее или нет - право пользователя.

_________________
С уважением, Карагезов Владислав

Хорошо какой свитч не доступа у вас есть чтобы я мог на нем проконтроллировать привязки MAC-IP ? нету ... ах жаль то как.
Владислав, просьба основывается вовсе не на капризном желании сказать плохое про Д-Линк, а на опыте эксплуатации вашего оборудования. Из желания сделать железяку умнее и полезнее. Активация каких либо фич по виланам, а не по портам это современная необходимость, времена привязки к портам уже прошли.

Далее всеже по поводу уровня свитча. Наболевшая тема. Где именно указывается уровень работы свитча? В технической документации я чтоот не нашел этого параметра. Мы с Вами технические специалисты, давайте основываться на формальных признаках. Иначе очень тяжело говорить. Наболевший пример 2108, железка прадставленная как коммутатор для домашних сетей и провайдеров. Они ей заинтересовались и начали на форуме писать чего им не хватает в этой железке, на что сразу представители Д-Линк начали ссылаться на то, что это дешевое железо SOHO уровня и запрошенного функционала в ней не видать. Так всеже для кого 2108 ? Свитч какого уровня 3526, и зачем свитчу уровня доступа MSTP ?

если честно, желания дискутировать по поводу предназначения коммутаторов нет, все ссылки на то, для чего предназначен коммутатор, как правило есть в его описании - коммутатор рабочей группы (доступа - если оперировать терминами ISP), уровня распределения или ядра сети - здесь все понятно.
Хотя я согласен, что такое деление весьма условно и каждый понимает скажем ядро сети по-разному. Но, к примеру, использовать на уровне распределения DES-2108, как это пытаются делать отдельные оригиналы
Что касается вашего предложения по работе функции IP-MAC в привязке к VLAN а не порту - в настоящий момент это нереально сделать по ряду причин. Возможно, в будущих версиях FW или устройств можно будет вернутся к данному вопросу, но не сейчас.
Думаю, за сим дискуссию можно закрыть пока.

_________________
С уважением, Карагезов Владислав

В основном, коммутаторы серии DES-3500 формируют стек сети уровня подразделения, предоставляя порты 10/100 Мбит/с и возможность организации гигабитного подключения к магистрали.

ссылка, второй абзац сверху:
http://www.dlink.ru/products/prodview.p ... =13&id=407

Всеже вне зависимости от уровня доступа коммутора, хочется иметь как секурити (MAC-IP binding) так и доступ в Интернет, а здесь на лицо не совместимость так как я не могу для МАС адреса маршрутизатора прописать все многообразие адресов Интернета.

Просто мы как пользователи покупаемся на ваши рекламные шаги, да нужная и полезная функция MAC-IP binding, ради нее был куплен 3526, а оказывается что функция в зачаточном состоянии и пожелания по ее улучшению натыкаются на долгие разъяснения уровней доступа и ненужности этих улучшений нам. А когда аргументы кончаются - произносится сокраментальное не нравится не используй. Обидно

Уважаемый tracert! Давайте не будем путать божий дар с яичницей.
Функция IP-MAC Binding предназначена для контроля за клиентскими портами свича. Что касается "прописать все многообразие адресов Интернета" - при чем здесь коммутатор? Используйте роутер или МСЭ - это задача для таких устройств.

_________________
С уважением, Карагезов Владислав

Здравствуйте

Владимир, как скоро можно будет скачать новую прошивку?

Иногда даж отвечать не хочется. На порту 1 висят:

1. Маша с МАС aa-aa-aa-aa-aa-aa и Ip 192.168.0.10
2. Петя с МАС bb-bb-bb-bb-bb-bb И Ip 192.168.0.11
3. Инетт роутер с МАС сс-сс-сс-сс-сс-сс И IP тех кто нам шлет из инета данные.

Так вот при активизации МАС-IP биндинга МАС роктера сразу влетает в блокед лист. А Маша и Петя работают.

А зачем всё это вешать на один порт если не секрет? Для организации Internet-канала надо использовать свой порт с определёнными настройками (например ACL), а для подключения пользователей свои (например с активированной функцией IP-MAC-Port Binding)

А вот и не угадали на самом деле все наоборот Отдельный порт под Интернет? Ну приходит он с порта на котором еще висит примерно 40 пользователей, а что такого? Вилан отдельный, приоритизация по нему включена. Современные сети давно прошли тот момент когда админы мыслили портами, у меня на одну физическую строктуру наложено сейчас 5 логических сетей, одна из них транспорт трафика от точки приема Интернета до сервера VPN (через 5 свитчей, два из которыз 3226). А бесконтрольно оставлять сегмент с 40 пользователями тоже не хочется.

ожидается ли изменение логики работы функции IP-MAC Binding?

как полноценное самодостаточное средство привязки IP-MAC-Port она не работает.

тем не менее, отличным применением такой функции могли бы быть мониторинг и блокировка arp-спуфинга (генерация абонентами ложных arp-ответов). достаточно лишь проверять не только arp-who-has, но и arp-reply.

сама логика работы механизма IP-MAC-Port Binding не изменится, отслеживаться будет по-прежнему на основе arp запросов и ответов - к сожалению, есть определенные ограничения у каждого устройства.
Что касается расширения функционала - планируется добавить запись событий IP-MAC-Port Binding в лог с указанием причины блокировки, а также сделать автоматическое создание ACL при добавлении записи в таблицу Ip-MAC-Port - это уже "железно" решит вопрос с подделкой arp пакетов. Ожидается в след. релизе, по срокам пока сказать не могу, в след. году точно...

_________________
С уважением, Карагезов Владислав

честно говоря, DES-3526 до нас еще не доехали, гоняли DES-3550 (F/W 3.05.B13)
IP-MAC Binding проверяет только arp-запросы...



этого вполне достаточно +)
если в 3526 так и сделано, а в 3550 планируется так сделать, то мы спокойны.