Вопрос, насколько коректно работает IP-MAC-binding в связке с port-security и работает ли в принципе ?
Я попробывал использовать их в связке, наблюдал след. картину.
Включаем абонента во 2-й порт.:
добавляем:
config port_security ports 2 admin_state enable lock_address_mode DeleteOnReset
config address_binding ip_mac ports 2 state enable allow_zeroip enable

Теперь, кокда мак с айп правильный, абонент работает.
Далее, если он применяет неправильную связку,
попадает в блок лист.
Потом, передергивает кабель, при этом мак с таблици пропадает и
больше не появляется пока не передернешь свич.

На 3526 такая связка нормально работает. Мне кажется это недаработка в прошивке (прошивка 4.01.018).

Вообще-то IP-MAC-Port Binding нельзя использовать с Port Security.

А что тогда делать, был случай, когда абонент со своего порта зафлудил мак адресами. Таблица маков переполнилась с последующими последствиями.
Нужно контролировать мак+ip и ограничить такие проблемы. Посоветуйте что-нибудь ? Используется связка ПОЛЬЗОВАТЕЛЬ - DES3026 - DES3526 - DGS3324

Ну так если Вы прописали связки IMP на порту другие MAC-адреса ходить не могут.

В том то и дело, неправильные маки всеравно попадают в таблицу, только с пометкой неавтаризованный и еще неприятные момент, если человек юзает pppoe, то он его вообще не лочит. Просто сеть получается уязвимой

Попробуйте прописать статическую таблицу MAC-адресов и отключить Learning.

я не нашел как на 3026 свиче Learning отключается

Кстати, когда-то была бета прошивка 4.01.012,
в ней было реализовано, что мак таблица обучается по биндингу,
но от нее отказались, т.к. неработало ДХЦП помоему.

на 30ХХ IMP работает в ARP режиме и маки появляются. Сталкивались с такой проблемой

_________________
DES 3526 - флагман DLINKостроения

Значит попытайтесь это сделать на вышестоящем устройстве. К сожалению механизм IMP в DES-30XX изменить нельзя. И понятно почему PPPoE сессии проходят. Механизм то функции ARP. Я думаю если не увеличивать сильно fdb aging time, а может и снизить его то существенной угрозы сети нет.

Суть проблемы даже не в запрете pppoe, а как бороться с мак флудом, вот если бы была опция скажем ограничение кол-во маков на порту, было бы чудесно. Т.е. ограничить забивание таблицы с одного порта.

Как я и сказал на этой серии это невозможно. Серия DES-35XX включает функцию DHCP Snooping где это уже можно сделать.

А функция
config port_security ports Х max_learning_addr (0-10)
разве не для ограничения числа обучаемых маков на порту используется?

Именно только это любые адреса получаются.