Читаю описание свитча на вашем сайте и возникли вопросы:

Почему мануал разительно отличается от описаний по терминологии?



Чем отличаются эти функции?
Как они выглядят в коммандах?
Создают ли они привязки MAC-IP для ARP и IP пакетов, или только для одного из протоколов?
Сколько всего может быть таких записей?
Будут ли они работать в super-vlan?
Эти записи используют ту же память что и ACL? (т.е. память одна на всех)

Как-то глуховато дело...

Вчего можно создать 84 записи вида:
switchport port-security mac 0000.1111.2222 ip-address 1.2.3.4

Во-первых тут ошибка, на устройство а не на порт.
address-bind 192.168.100.21 0001.1122.2333 создаётся привязка на все порты.


Создают ли они привязки MAC-IP для ARP и IP пакетов, или только для одного из протоколов?
для IP и ARP

Сколько всего может быть таких записей?
Указано выше

Будут ли они работать в super-vlan?
Если только в global mode

Эти записи используют ту же память что и ACL? (т.е. память одна на всех)
Да, используются ACL

Эти записи создаются автоматически через dhcp snooping?



Значит в теории защитят от ARP Spoofing'а?



Сработают ли эти правила на трафик между саб-вланами?

Эти записи создаются автоматически через dhcp snooping?
Нет, это ручные записи. DHCP Snooping конфигуриться отдельно

Значит в теории защитят от ARP Spoofing'а?
На практике тоже, но от спуфигна нужно защищаться на доступе

Сработают ли эти правила на трафик между саб-вланами?
А как IMPB(IP_MAC_PORT_BINDING) влияет на работу между абонентами? Никак. Собственно говоря так же и с SuperVLAN.

Что Вы хотите сделать?

А через DHCP Snooping создаются совершенно иные правила?


Дык вот на доступе и не хотелось бы. Тут или довериться IMPB+DHCP Snooping, или прописывать тысячи правил в сотни свитчей?


Ну как же, а разве IMPB выпустит невалидный ARP пакет в сторону соседского порта?

Хочу попробовать сделать доступ без фильтров, чисто с вланами. Vlan-per-user фактически.

Не совсем правильная идея делать все выше чем на доступе. Если и будет идти какой-то флуд, то будет утилизация линков до аггрегации, а сама атака будет отражена на DGS. Не жалко полосы пропускания?
По факту можно настроить DHCP_Snoop+DAI на SubVlan и получится искомая схема. Только подуймате пожалуйста ещё раз зачем это нужно делать, если можно и нужно защищаться от порта абонента.

Согласен, но 3028, наивно расставленные за неделю на готовую сеть, активно меня склоняют к созданию кучи вланов вместо влана на район как было до этого. Раз уж я беру железяку с super-vlan, почему бы не рассмотреть возможность чистить трафик на ней, а на доступе использовать гораздо более дешевые свитчи, пусть и не умеющие в полной мере всякие DAI & ISG? Вот я и рассматриваю возможность.

PS. А есть ли в нем некое подобие local proxy-arp, который бы мог работать "внутри" сабвлана?

Вот local proxy arp к сожалению нет, по-этому traffic-segmentation + SuperVLAN работать не будет. Да и нагрузка будет очень большой.