Имеется сетка из коммутаторов 3526 и кое-где 2108.

Клиентам выданы статические IP-адреса.
Что можно предусмотреть в плане защиты от смены IP-адресов клиентами.
Т.е. на конкретном порту пропускаются только определенные IP-адреса.
Хотя бы на линии 3526 через SNMP.

Спасибо.

IP-MAC-Port Binding в режиме strict.

Вообще лучше раз в 1-5 мин считывать fdb и сверять с базой. Это позволит не настраивать ничего на коммутаторах если их много. Таже база может использоваться для DHCP.

Уточню...

Есть база, в которой хранятся данные клиентов (коммутатор, № порта и Ip-адреса - их может быть у одного клиента несколько)
Соответственно управление коммутаторами лучше всего сделать через SNMP.
MACи клиентов могут меняться - он может подключить комп или ноутбук, поменять сетевушку и т.п. Изначально маки неизвестны.

Т.е. на одном порту могут быть несколько IP и MAC.

Как лучше всего сделать, если можно с примерами.

Спасибо.

разрешаете на каждом порту аслами доступ от тех IP, которые там могут быть, куда угодно, потом запрещаете на этих же портах отовсюду везде.

Согласно базе забивать ACL на каждый порт по SNMP.
Логика простая, вам остаётся лишь реализовать.

Так все же лучше ACL или пробовать IP-MAC-port binding?
Можно реализовать аналогичный функционал?
И как по нагрузке на проц коммутаторов? Не будут захлебываться при большом количестве ACLов?

В вашем случае ACL, т.к. IMB не позволит вам добавить 2 записи одного IP адреса с разными маками (структурно у него индекс по IP адресам).

Проц не участвует в обработке ACL, ему пофигу сколько их будет.

Спасибо, пробую.

Разбить адресное пространство на сети /30. И для каждого клиента выделить свой отдельный vlan. За одно избежите проблем роста сети, таких как забивание каналов широковещательным трафиком, и потери в скорости у клиентов как следствие, а то и вовсе повсеместного отказа работы сети, всякого рода атаки спуфинга.

Всё решается правильным ACL, и никакие доп. вланы не нужны.

Как на 3828 лучше сделать, что бы через определенный порт, ходили только определенные ip? через acl не хватит правил, а IMB, если ползователь сменит ip, то мак попадет в блок, и когда он вернет свой ip то все равно будет в блоке, и ли я ошибаюсь.

В IMP есть функция Auto Recovery, т.е. если клиент вернёт обратно правильную связку то MAC-адрес разблокируется.

а можно поподробние, или где про это посмотреть, и что такое IMP, или это опечатка

Это IP-MAC-Port Binding. Почитать в мануале. А так присылайте настройки, если не получается, проверим.