Подскажите минимальную модель коммутаторов в которой можно добится следующих функциональных возможностей на портах куда включены конечные пользователи:

1. фильрация DHCP ответов
2. привязка IP и МАК адресов к портам
3. фильтрация ARP ответов. на ARP-ы отвечать будет отдельный сервер.

Вроде бы по описанию 3526 с этим справится, но может это можно реализовать в железке по проще ? И еще один нюанс, если привязать к порту IP и MAC, то как клиент получит адрес по DHCP ведь изначально запрос идет с адреса 0.0.0.0 ?

Куда уж проще-то.... Отличная железка.

По DHCP с последней прошивкой все нормально будет.

А откуда эту последнюю прошивку можно стянуть, а то уже завтра покупаю 3526.

Я Вам прошивку выслал.

Купил наконец то 3526, пол дня тестил. То что я хотел получить в итоге - все получилось и даже немного больше.

1. Левые DHCP сервера отшились ACL-ем на UDP порт 67.
2. IP-MAC-Port binding в режиме ACL не дает возможность менять юзеру ни MAC ни IP. Но это не спасает от возможности перезаписывать ARP таблици других юзеров, генерируя кривые ARP ответы.
3. Для защиты от кривых ARP ответов поставил на порт еще один ACL c фильтрацией контента.

ACL c фильтрацией контента это конечено чтото... при желании хоть IPX хоть IPv6 можно фильтровать, я просто писал кипятком.

До этого работал только с Cisco Catalyst и добится аналогичной защищенности (IP, MAC, ARP) можно только на моделях начиная с Catalyst 3560 (L3 gigabit switch) стоимостью >2K$

Рад слышать! Если будут вопросы обращайтесь.

а конфиг не запостишь?
интересно взглянуть.

Конфиг будет малоинформативный, глядя на цепочку шестнадцатеричных чисел мало что можно сказать. Сейчас пишу перловый скрипт, на вход которого передается IP,MAC,Port а он автоматически генерит нужный ACL. Как сделаю - обязательно запостю.

KabaH запости acl правило по кторому ты отрезал все левые dhcp

А FAQ почитать сперва?
http://www.dlink.ru/technical/faq_hub_switch_66.php

Интересно что это?
3. фильтрация ARP ответов. на ARP-ы отвечать будет отдельный сервер.

И соотвествнно как реализовать

Это делается занефиг. ARP запросы - бродкасты, поэтому их ловит сервер под FreeBSD с пощью BPF (Berkley packet Filter) и он же формирует arp ответы. Но в свете того что я узнал о ACL с фильтрацией контента все стало намного проще - сам свич может фильтровать кривые arp ответы, поэтому и написал в отчете что получилось даже лучше чем хотел.

Не догнал ... 1 acl для каждого юзера или можно обойтись общим ? Если можно - то каков принцип фильтрации?
Кстати и мне новую прошивку если можно.

Я Вам прошивку выслал.

Можно и мне получить прошивку, если она новее чем 4.01-В19