FW сабжа DES-3526_R_5_01_B09.had

Имею следующюю схему сети:

Есть 4 жилки, приходят в 3526 в 4 порта. На жилках висят юзверя. Каждая жилка = дом. На 2-х домах стоят 3 роутера, в лице 3828.

IP:

3526 = 192.168.3.70/255.255.0.0

к нему цепляются роутеры с внешними IpIf:
1) 192.168.3.6/255.255.255.240
2) 192.168.3.9/255.255.255.240
3) 192.168.3.10/255.255.255.0

Раньше, когда ещё стояла FW 4-й серии на имеющихся 4-х жилках был включен IP-MAC Binding. Соответственно, ARP записи удалённых роутеров в свиче были и ВСЁ РАБОТАЛО отлично.

Сейчас, после обновления свичей на новую FW открывается следующая картина:

При включенном биндинге, 3526 начинает блочить удалённые роутеры, ссылаясь на то, что IP-MAC адреса, находящиеся ЗА РОУТЕРАМИ не являются валидными. Необходимый IP-MAC Binding для интерфейсов удалённых роутеров сделан.

Вопрос: как можно использовать IP-MAC Bind на 3526 с последней прошивкой, что бы он нормально работал как с юзверями, так и с маршрутизаторами?

Непонимаю зачем у вас так сделано если можно использовать IMP прямо на DES-38XX. А у Вас на этих портах режим функции strict или loose?

На 3828 он и включен. Просто сигнал, проходящий от основной пачки серверов, защищаемых 3526, проходит через пользовательскую подсеть. Т.е. на одном и том-же порту висят и юзверя и роутеры.

Я знаю что так делать не стоит, знаю о выделенном управляющем ВЛАНе, знаю о проблемы бывают со стороны юзверей, но имею что имею.

Дело в том, что в данный момент времени я:

1) не понимаю, почему 3526 ловит АРП пакеты хостов, находящихся ЗА маршрутизаторами.
2) Предполагаю 3 решения данной проблемы:
2.1) добавить поверх пользовательской подсети ещё 1, нефильтруемую IMB подсеть, на коротой расположить роутеры, путём добавления дополнительных 3526.
2.2) перепрошить 3526 назад на 4.01, т.к. эта прошивка работала с ARP так, как и должна работать.
2.3) довесить ещё опты


Это где?

При настройке функции на порту. По умолчанию в новой прошивке выставлено strict, попробуйте поставить loose.

Насколько я могу судить по имеющимся логам - проблема решилась. Спасибо большое.

Теперь объясните пожалуйста, в чем различия параметров strict и loose, и имеют ли они такое-же влияние на работу IP-MAC Binding на 3828?

Опция strict позволяет блокировать первый ARP пакет при например частых сменах связки IP-MAC, что позволяет защититься от ARP spoofing-а. Опция loose не позволяет. В таком режиме функция и работала до R5. В DES-38XX естественно тоже самое.