Сел побороться, так как средствами ACL сделать немного напряжно.
Из названия функции понятно, что она контролирует IP адрес или диапазон адресов на выбранном порту при этом не контролируя MAC адрес, то что мне и нужно.

По настройкам.
Сначала включил режим ACL и внёс на порт IP адреса которым можно.
Потом, выбрал порт и внёс настройки.
Режим strict
Zero ip enable
Forward dhcp Enable
Stop Learning Threshold 20 секунд (Как и для чего ?)
Recover Learning галку поставил (Как и для чего ?),
вопрос по последним функциям, в мануале не нашёл описания вообще.

При смене IP на не разрешённый происходит блок пакетов и в журнале отметка, если вернуть обратно то блок не снимается и в заблокированных тоже не видно что там комуто закрыто.

Что не так ?
Спасибо.

Странно, никто не отвечает
Для 3028 всё ещё хуже.
Как мне отказаться от проблем с мак адресами, я не хочу это контролировать на стороне абонента.

Permit IP Pool работает только c привязками в режиме ARP.
IMPB для решения Вашей задачи не подходит, Вам нужно использовать ACL IP профили.

Это хорошо.
На 3526 я смогу это сделать, а как мне там контролировать arp ?
Arp inspection на нём нету, arp preventation не совсем то, в случае неверно настройки абонента arp пакеты всёравно будут вылетать.

Как железно клиента задушить протоколами включая ip и arp не юзая IPMB который заставляет юзать мак адрес.

Тоже самое на 3028, как, когда профилей не хватает на 24 порта.

Курить ACL. Поверьте, лучше 1 раз раскурить как следует (особенно PCF), чем каждый раз спрашивать "КАК?"

По поводу 3028 - есть у него одна интересная особенность - если правило применить сразу ко всем портам, то тратится всего один rule entry, если к 1-24 (как бывает часто нужно), то тратится 24. Поэтому можно сделать небольшую хитрушку - всё разрешить на 24-28 (или 25-26, там как нужно), а уже остальные правила применять ко всем портам. Таким образом можно насочинять много фильтров (исключение - PCF, там свои ограничения, всего 5 offset`ов на порт)

Это всё класно, спасибо.
Тоесть не 1-24 писать а all и тогда будет 1 правило а не 24, щас проверю.
А по поводу другого что я спрашивал ?

Вот здесь почитайте, пожалуйста: http://dlink.ru/ru/faq/62/252.html

Значит для 24 абонентов, нужно создать 2 профиля и туда напихивать айпи адреса клиентов, этим мы будем контролировать arp и ip протокол полностью ?

А поместится ли всё это в TCAM ?
Или я не правильно понял, если мы возьмём под контроль arp таким методом то это будет лучший метод.

Я почитал, но понять это хрен поймёшь, на форуме всякого в этом роде обсуждают но тоже ничего не понятно.
Ну да ладно буду ещё пробовать.

А вот скажите, на 3028 применив arp_spoofing_prevention на 24 порта у меня ушло 96 правил, и это только для шлюза я применил а есть ещё пяток серверов так же отвечающих за доступ к интернет и иным сервисам.
Это нормально ?
Как мне всё упихать то в свитч.

Если по примеру Packet Content то тут всё кажется более сжато если разобраться как оно работает.

Приведите, пожалуйста, пример использованных правил.

ппц, ну говорили же, что если поставить порты не 1-24, а all - то используется одно правило.

В вашем случае нужно делать так:
разрешающее правило на аплинках - 4 правила
запрещающее на всех портах - одно правило

у вас получается 96 правил для 4-х серверов по 24 правила для каждого сервера, а можно сделать 20 правил для 5-х серверов по 5 правил на сервер.

Да я уже понял, меня ввёл в заблуждение Packet Content а точнее в непонимание.
В таком случае мне всё хватило, просто arp spuf пришлось заюзать на все порты а не только на клиентские.
И простыми ACL ами вписал абонентов кому мона кому неззя.
Единственное если делать с помощью Packet Content то тут всё понадёжней получаеться.