Прошу уточнить как ip-mac-port binding относится с включенному portSecurity?
Его нужно отключать или всё равно включен он или нет?

Вопрос2. А так же в чём разница между ipbind методом arp и методом acl? Слышал, что в методе arp есть некая брешь и злоумышленник может получить доступ в сеть, однако представить это не могу. Ведь на всех портах будет указана своя комбинация ip-mac.

Эти функции могут использоваться совместно. По поводу режимов ARP и ACL. В ARP режиме пропускается первый ARP-пакет и следовательно можно организовать атаки типа ARP-spoofing-а. ACL режим более строгий и при нём не работает DHCP например. Подробнее можно почитать здесь - http://www.dlink.ru/technical/pdf/hub_s ... inding.pdf

Правильно ли я понял, что при ACL режиме нужно придумывать правила и на другие порты и на сам свич тоже, иначе может получиться, что на свич не получится удалённо зайти?
Или как понимать формулировку "а также необходимо придумывать целиком всю стратегию ACL"?
ЗЫ Или я всё таки могу использовать ACL только для некоторых портов?

На этот вопрос я отвечу сам - ACL работает на отдельном порту без проблем.

Ещё вопрос: может ли быть на одном порту на один IP-адрес две записи с разными мак адресами? Вопрос возник после того как исправил неправильно написанный мак в команде
config address_binding ip_mac ipaddress 10.10.165.186 mac_address 00-C0-26-A2-87-3D ports 2 mode acl
правило просто перезаписалось.
При попытке создать другое правило на тот же ip но другой мак выдало
Command: create address_binding ip_mac ipaddress 10.10.165.186 mac_address 00-C0-26-A2-87-4D ports 2 mode acl

This entry is existed!

Fail!

При внимательно вкуривании в индексы
====
["SNMPv2-SMI::enterprises.171.11.64.1.2.7.2.1.1.10.10.165.186"]=>
string(24) "IpAddress: 10.10.165.186"
["SNMPv2-SMI::enterprises.171.11.64.1.2.7.2.1.2.10.10.165.186"]=>
string(30) "Hex-STRING: 00 C0 26 A2 87 3D "
["SNMPv2-SMI::enterprises.171.11.64.1.2.7.2.1.3.10.10.165.186"]=>
string(10) "INTEGER: 1"
["SNMPv2-SMI::enterprises.171.11.64.1.2.7.2.1.4.10.10.165.186"]=>
string(24) "Hex-STRING: 40 00 00 00 "
["SNMPv2-SMI::enterprises.171.11.64.1.2.7.2.1.5.10.10.165.186"]=>
string(10) "INTEGER: 1"
["SNMPv2-SMI::enterprises.171.11.64.1.2.7.2.1.6.10.10.165.186"]=>
string(10) "INTEGER: 1"
====
можно сделать вывод, что для второго правила на тот же ip-адрес в этих индексах попросту нет места. Если бы OID был SNMPv2-SMI::enterprises.171.11.64.1.2.7.2.1.1.10.10.165.186.1 а не SNMPv2-SMI::enterprises.171.11.64.1.2.7.2.1.1.10.10.165.186, тогда да.

В связи с чем вопрос снимается, однако возникает другой вопрос.

Будет ли в следующей прошивке возможность на один ip адрес задавать несколько ip-mac-port биндингов?

В качестве варианта вижу такой: делать OID не только на основе ипа, но и мака:
SNMPv2-SMI::enterprises.171.11.64.1.2.7.2.1.1.10.10.165.186.0.192.38.162.135.61
Такое возможно?

а разве такое возможно - что бы у одного IP было несколько маков? вернее зачем?

А это когда у абонента два компа и он их по очереди включает, чтобы вылезти в инет по одному тарифу.
Это конечно криво, но некоторых абонентов это устраивает.
Хотя вопрос резонный - в один момент так не бывает.

Нет, такое невозможно.

И не будет?
Никогда?
Там ведь oid удлиняется всего на 6 чисел.

Нет не будет.