Есть свитч 3326sr.
Возможно ли привязать конечного пользователя к определенному порту с определеным MAC-IP адресом?

Похоже на 3326sr можно привязать только MAC к порту?

Вообщем задача следующая:

необходимо чтобы пользователь не мог менять MAC, IP + чтобы была привязка IP+MAC к порту + возможность ограничивать скорость на порту.

Пожалуйста порекомендуйте что нибудь.
К сожалению 3326sr уже куплен, и желательно решить эти вопросы использую эту модель.

P.S. ограничение по скорости понятно как делается, как привязать MAC к порту тоже понятно, но как защититься от смены IP на порту не понятно.

Ну так если мак к порту уже привязан, и коммутатор является шлюзом для привязываемых машин, остаётся только создать статическую ARP запись на коммутаторе и всё. Это конечно не абсолютная защита, но по крайней мере это гарантирует что пакеты от ip-интерфейса коммутатора к этому IP пойдут только на заданный мак, который привязан к конкретному порту, что вообщем обычно достаточно. Следует только иметь в виду, что таблица статических ARP записей имеет весьма конечный размер, правда сколько конкретно для этой модели коммутатора не помню - см. мануалы и/или поиск по форуму.

Добавлю еще: можно задействовать ACL, но т.к. свич не поддерживает привязку правила к физ. поту свича, то придется клиентов разносить по VLAN (по схеме 1 порт - 1 VLAN) и создавать правила таким образом.

_________________
С уважением, Карагезов Владислав

Можно подробнее?

предположим есть два ПК подключенных к порту 7 и 9, сам свич подключен к другому свичу через порт 3. IP интерфейса свича 192.168.4.230, y первого ПК IP 192.168.4.10, у второго ПК IP 192.168.4.20

Что я делаю:

у портов 7 и 9 отключаю learn, в безопастности ставлю 0 максимальных запоминаемых маков, Permanent в Lock Address Mode,
в unicast MAC address setting прописываю маки сетевух этих двух ПК на соответствующие порты.
В static ARP прописываю соответственно мас<->IP.
На ПК прописываю def gateway ip свича, на свиче прописываю def gateway роутера.
Все работает, пакеты бегают по сети, за пределы этой сети (т.е. маршрутизация работает) и т.д.

Что я сделал не так? так как я все равно спокойно меняю IP адреса на машинах (на любой другой или меняю местами IP на двух ПК) и они продолжают нормально работать? ладно там можно как я понимаю через ACL запретить те IP которые не используются, а как быть со случаем, если меняют на существующий IP?


Может надо что то принудительно сбросить/перегрузить в свиче?

хм, похоже нет идей?

А если коммутатор не шлюз для этих машин, то собственно непонятно тогда нафига в нём элтрёвость вообе в даном случае, ибо отрабатывает он чисто как L2 железка.

Возникла схожая ситуация.

Организация, в которой я работаю, приобрела маршрутизатор DES-3326SR. Покупался он с дальним прицелом именно как маршрутизатор с возможностью фильтрации MAC. После анализа существующей топологии сети (а также в связи с наличием лени ) было принято решение поместить данное устройство в разрыв между компьютером раздающим интернет клиентам и собственно клиентами, с дальнейшей привязкой MAC адресов клиентов к IP адресам закрепленным за ними. Всех клиентов планировалось растащить по портам 3326sr более менее равными группами. Следует отметить что в данном типе подключения D-Link не выполняет роль маршрутизатора, а подклющен по схеме включения сетевого моста. После добавления в ARP таблицу MAC адресов клиентов, заведомо не совпадающих с реальными MAC адресами клиентов и подключения клиентов все клиенты нормально "работали", т.е. повторилась ситуация описанная автором данной темы выше. С одним НО. С клиентов нельзя подлючиться в IP адресу D-Link маршрутизатора и пропинговать его тоже не получалось.
После этого я поискал на этом форуме похожие темы и нашел вот эту.

Решение проблемы пришло не сразу. Я попробовал перевести один из портов D-Link на новый VLAN присвоил ему новый IP. Т.е. сконфигурировал простейший маршрутизатор между двумя сетями. В одном VLAN (порт №1) был переконфигурирован default VLAN system IP -адрес я ему дал из подсети интернет сервера. А все остальные 23 порта я обединил в новый VLAN и дал ему новый IP из новой подсети. После чего все заработало так как должно.

Может быть кому-нибудь сгодится.