Ктонибудь может доходчиво обьяснить или ткнуть носом в документацию в чем принципиальное отличие ARP mode от ACL mode ? А то после прочтения http://www.dlink.ru/technical/pdf/hub_s ... inding.pdf вопросов только добавилось.

Тем что в первом случае блокировка идёт на основе анализа ARP пакетов, а во втором создаются правила ACL на порту.

Встречный вопрос, как надежнее, как для пользователя, так и для коммутатора?

Второе.

А в случае с ARP mode обработка ARP пакетов делается в процессоре или на ASIC-ах ?

ARP пакеты в любом случае обрабатываются CPU устройства.

Спасибо. Теперь все понятно. А можно мне прошивочку выслать там где хосты могут получать адреса от DHCP если на порту binding включен в режиме ACL (в этой прошивке есть параметр allow_zero_ip) ? Теоретически тоже самое можно сделать и content based ACL-ми, но address_binding более наглядно.

Я Вам прошивку выслал.

Какая должна быть логика постороения последовательности ACL правил, для реализации:

- Пускаем всех на 192.168.172.0/24 (правило 1)
- Пускаем dns на 192.168.173.1 (правило 2)
- Блокируем некоторых на 192.168.171.0/24 (правило 3)
- Блокируем некоторых на 0.0.0.0/0 (правило 4)

Куда вставлять в этой схеме правила ACL для ip-mac binding

В конец.

Вот кстати вопрос.
юзер настроился на ип гейтвея.
как я понимаю и увидел это в свое время при тестировании:
ARP режим
прошел arp пакет, бан сразу по маку. юзер не мешает некоторое время
до по пропадания линка на том порту (и т.п нюансы)
ACL режим
ничего от узера мы не выпускаем, но арпы проходят. т.е ни у кого ничего
не работает.

я верно думаю?

т.е получается что оба эти режима не совсем функциональны насколько хотелось-бы. ARP легко обмануть. ACL не подходит из-за пропуска арпов. Будет-ли это доработано?

P.S. Фильтровать арпы через acl не предлагать. сетей много и многие часто меняюся, а править aclки на всех свичах = не вариант.
Может есть возможность указать чтонибудь типа маски 10.x.x.1, не перечисляя все возможные сети.

В ACL режиме по идее ничего не должно проходить. Может быть со старой прошивкой тестировали. А ARP будет доработан чтобы не пропускать и первый ARP пакет.

Прошивка 4.01-B19
Очень ждем релиза 5-й версии

Можно и мне тоже..?

Кстати, расскажите, пожалуйста, этот параметр allow_zero_ip просто добавляет ещё одно правило в ACL ?

Я Вам прошивку выслал. Нет просто пакеты с IP-адреса 0.0.0.0 разрешены всегда при включённом этом параметре.