Имеем кучу DES-3200-26, работающих вполне успешно и замечательно.
Пока (временно) отключение пользователей производится путем тушения порта по snmp.

Поскольку это не кошерно, решено реализовать отключение пользователей путем добавления ACL - ограничивающих юзверям доступ строго к определённому диапазону адресов и сервисов.
Собственно вопрос.
Имеем прошивку 1.33B006, в которой нас все устраивает. Абсолютно.
Аddress_binding настроен следующим образом:

sh access_profile не показывает никаких acl, кроме тех что созданы вручную.
Как динамически добавлять ACL во время работы коммутатора, учитывая, что так же динамично добавляются правила биндинга ip на порт?
Здесь http://dlink.ru/ru/faq/62/205.html сказано, что при добавлении ACL надо выключать address_binding и включать после создания правила. Возможно что-то изменилось в функционале этого коммутатора.

В FAQ-е рассматривается модель DES-3526, у неё нет как у DES-3200 отдельные пользовательские ACL и отдельно системные для работы внутреннего функционала. Т.е. Вы смело можете через SNMP навешивать ACL не отключая IMPB на DES-3200.

_________________
С уважением,
Бигаров Руслан.

Благодарю за ответ.
Еще пару вопросов:
1. если коммутатор сообщает, что есть свободных 400 acl, то они все в моем распоряжении и печься об калькуляции дополнительной не надо?
2. какая последовательность обработки acl - сначала те что создал binding, а потом те что созданы вручную или есть нюансы?
3. DES-3028 - стоит пару штук, т.к. под рукой на тот момент DES-3200 не было. У них как обстоят дела с этим функционалом?

1. Да
2. Сначала пакет пройдёт через IMP ACL, потом через стандартные(пользовательские).
3. Вы имеете ввиду с системными ACL или порядок обработки пакетов?!

_________________
С уважением,
Бигаров Руслан.

3. Да, как в DES-3028 с системными ACL и порядок обработки ACL какой?

Принцип тот же, что и на DES-3200.

Так, а можно полную схему отработки ACL?
PCF -> arp_spoofing_prevention -> IMP ACL -> пользовательские ACL
Так?

Если под PCF Вы понимаете packet content filtering ACL созданные вручную, то это такие же пользовательские ACL и схема примет вид:
arp_spoofing_prevention -> IMPB ACL -> пользовательские ACL

А не подскажите, какую версию прошивки использовать ради исправного arp_spoofing_prevention? 1.51B009 достаточно?

Да, должно быть достаточно.

Возникла проблемка, и поскольку возможности в ней детально разобраться возможности не было (сеть находится территориально весьма удаленно) решено попробовать сменить прошивку на DES-3200 c 1.33.B006 до 1.52.B005 (кстати, чем она отличается от 1.52.B004?).
Сделал. Попутно перестроил dhcp_relay per vlan. В итоге проблема вроде как решилась, но возникла другая. Выключение/включение порта приводит к скачку загрузки cpu до 80-90% и срабатывает safeguard_engine в fuzzy режиме. Как следствие иногда (не часто далеко) где-то не срабатывает связка dhcp_relay + option82 + IMPB.

Выключил на одном коммутаторе safeguard_engine - стал наблюдать. Ряд простых маршрутизаторов производства TP-Link и D-Link упорно не получали адреса после выключения и включения порта на свитче. Сославшись на их возможную фичу/баг не стал трогать. Но это к слову, ранее не замечал подобного.

Собственно вопросы:
1. Можно ли получить changelog c версии 1.52.B004, чтобы понять на какой прошивке лучше оставиться?
2. arp_spoofing_prevention на DES-3200 допускает несколько записей отличающиеся только маками? В моем случае из-за использования на агрегирующем Cisco 3750g функционала ip unnumbered для пользователей каждого DES-3200 свой мак шлюза, но одинаковый ip.
Сейчас на небольшом числе коммутаторов arp_spoofing_prevention подвязан только к пользовательским портам (1-24).
3. Такой рост утилизации процессора и как следствие излишние срабатывания safeguard_engine при смене прошивки ожидался или нет?
4. что дает использование IMPB v3.8 по сравнению с предыдущими версиями?

В догонку:
В прошивках 1.52.B009 по сравнению с 1.33.И006 сменился набор команд IMPB


Раньше IMPB настраивался так:

Как быть теперь?

Методом тыка конечно поковырять можно, но хотелось бы получить описание команд.
В частности config address_binding recover_learning

Описание команд будет готово только к релизу

А когда релиз этот ожидается?

Пока не ясно