Доброго времени суток.
Возникла следующая проблема при настройке ip-mac-port binding:
для одного ip адреса нельзя сделать привязку больше одного mac адреса. Есть клиенты, периодически выходящие в сеть с разных устройств (комп, ноут, кпк и т.д.), и не хотелось бы их заставлять менять MAC-адрес на каждом устройстве на привязанный к ip, или устанавливать домашние роутеры. Возможно ли решить данную ситуацию в следующих прошивках ?
p.s. свитчи используем 3526 и режим ip-mac-port binding ACL

Если клиенты выходят в сеть с разных устройств - пусть роутеры покупают и за ними прячут свои девайсы.

1 MAC - несколько IP - это я хотя бы понимаю
1 IP - несколько MAC - не понимаю вообще, как это может нормально работать.

Такое сделать действительно не получится. В этом случае используйте обычные ACL и контролируйте пользователей только по IP-адресу.

А получится ли сделать достаточно надёжный контроль по ip? если допустим юзер присвоит себе адрес шлюза - он не положит весь сегмент? не могли бы вы привести пример правила ACL надёжно защищающего от такого типа атак?

На примере 3028, VID на порту не тегированный.
Подсеть возьмём 192.168.24.0/21 со шлюзом 192.168.24.1


Тоже на примере 3526:


А можно привязать жёстко IP адрес клиента на порту, тогда первый вариант отпадет сам собой.

Если клиент получает адрес по dhcp то не мешалобы на порту еще разрешить прием пакетов от адреса 0.0.0.0, иначе клиент не сможет получить свой правильный IP.

Это верно, только не была поставлена подобная задача...

Вертеть то можно, как угодно...
И в режиме address_binding есть параметр allow_zeroip , пропускающий связку MAC-IP с IP 0.0.0.0...