Добрый день!

В DGS-3612G меня не устраивает тот функционал который есть в IP-MAC-Port Binding, а именно то что нельзя делать привязку только по ИП.

Мне нужно чтоб можно было на порту привязать список ип которым разешен доступ, не используя при этом mac адресс. При этом если какой-то ип не находится в этом списпке(разрешеных) то регистрация в таблице mac свича не должна происходить.

Возможно это сделать средставми ACL ? важно чтоб ip не прошедщие правило не поподали в MAC таблицу свича.

вы логически как это представляете?

проверка IP адреса производится по протоколу ARP, а он не может существовать без MAC адреса, в таблицу коммутации он полюбому попадёт.

да и вообще это задача оборудования уровня доступа, а не агрегации.

_________________
LiveComm

Я вас понял, спасибо.

А есть какие-то варианты, чтоб сделать bind посредством только ип, и если злоумышлиник на другом порту(где доступ для него запрещен) подставить такой же ип, не было конфликтов IP адресов ?

Просто по ip+mac привязовать очень не удобно, клиенты частенько меняют компы, а это большая накладка на тех. потдержку постоянно менять mac.

пишите ACL, которое бы разрешало определённые IP на определённых портах и запрещало бы всё остальное

Это понятно, но конфликтов не будет? или если допустим злоумышленик подставит ип адрес сервера, хоть и на этом порту будет он запрещен, но он вероятно сможет испортить таблицу arp, и тем самым трафик побежит не к серверу а к нему(точнее будет пытаться так как acl будет блокировать), а инет будет у других глючить

Пишите acl, разрешающий arp-пакеты только с определенных адресов. В таком случае arp-таблица за ACLями останется целой. А вот FDB так защищать не получится - тут только функционал на доступе.

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Респект и Уважуха!)

Всем Спасибо!