Каким образом на данном коммутаторе происходит формирование ARP таблицы? По моим наблюдениям ARP таблица на интерфейсе формируется используя ARP пакеты до того как к ним будут перменены правила Access Profile Table, потому как даже если запретить прохождение всех пакетов в Access Profile Table, то в ARP таблицу всё равно попадают записи для IP адресов хостов, подключенных к этим потрам.
Есть ли возможность научить коммутатор строить ARP таблицу на основе ARP уже прошедших Access Profile Table?
Если нет, то каким образом устроен CPU Access Profile Table? Потому как он позволяет откинуть ARP пакеты с неправильной парой MAC+IP, но 5 правил, которые он может содержать, явно не достаточно. Если эти правила обрабатываются программно, то есть ли прошивка позволяющая хотя бы правил 256 создать?

ACL не фильтруют трафик, направленный на интерфейс коммутатора. Действительно единственный вариант использовать CPU ACL.

вопрос в другом - зачем вам нужно заниматься такой фигней и что-то блочить в большом кол-ве в ARP таблице.?

_________________
LiveComm

Есть сеть построенная на коммутаторах без ACL но с привязкой MAC к порту.
6 коммутаторов в кольце, которое вешается на 2 порта DXS-3326. Логический разрыв кольца после 3 коммутатора.
Связь между пользователями возможна только через DXS-3326 по L3.
Видятся следующие проблемы:
1.Если прописываем Static ARP Table. То в случае если пользователь не в сети, то DXS-3326 кроме отправки ARP пакета для поиска хоста, ещё отсылает и пришедший на хост пакет, причём во все порты в VLAN на котором поднят интерфейс. Получается не хорошо.
2.Если не прописываем Static ARP Table. То компьютер зараженный вирусом может переопределить на себя все адреса подсети. И доже получить некоторое кол-во пакетов предназначенных для другого IP. Отправить он конечно ничего не сможет, т.к. в ACL DXS-3326 стоит правило привязывающее IP к МАС. Но сеть положить возможно.

Так вот исходя из условий, желательно формировать ARP таблицу уже по проверенным ARP пакетам, для этого достаточно 1 правила на IP адрес в ACL. Но вот только ACL где достаточно правил, фильтрует пакеты после того как будут обработаны ARP, а CPU ACL в котором это всё можно организовать позволяет только 5 правил.
Но самое интересное в том что ACL фильтрует трафик направленный на интерфейс коммутатора, если сделать правило запрещающее какой-то трафик, ну например пинг, то интерфейс на пинги перестаёт отвечать, или если сделать правило в котором определённому MAC+IP разрешается, а всем остальным нет, то все остальные не могут достучаться до интерфейса и смаршрутизироваться через него.

Укажите пожалуйста в личку Ваш телефон.