Имеется домашняя сеть из 200+ компов (всего планируется довести количество до 400-500 штук). В данный момент сеть практически полностью построена на неуправляемых коммутаторах, со всеми вытекающими отсюда негативными последствиями: смена ІР-адресов (сознательно или в результате действия вирусов), флуд, arp-атаки и т.п.

Для испытаний взял коммутатор D-Link DES-3026, который планировал установить в центре сетевой топологии "Звезда" и использовать в первую очередь для задания статических MAC-IP-Port связок в сети, а также для блокирования нарушителей правил поведения в сети. Но возникла следующая проблема: статические ІР-адреса в сети раздаются DHCP-сервером, и если пользователь еще не получил запрашиваемый ІР, коммутатор просто блокирует его запрос к DHCP-серверу, так как его IP не совпадает со связкой IP-MAC-Port до получения его по DHCP.

Прописывать всем пользователям статические IP - не выход, поэтому для автоматизации этого процесса и используется DHCP, который конфигурируется с теми же парами IP-MAC, что и коммутатор.

Вопрос: можно ли как-то выйти из положения на базе все того же DES-3026 (CPU Interface Filtering, например), или тут без ACL и DES-3526 не обойтись?

Есть ли еще какие-либо преимущества в замене в магазине купленного коммутатора на модель 3526 с доплатой с точки зрения безопасности сети? Т.е. какие еще функции защиты желательно использовать в данном случае?

ИМХО:
Для 3026 придётся обходиться с помощью ACL.
Совет - возьмите на тест в ближайшем офисе 3526 - с помощью него можно решить такую задачу.

Ещё можно рассмотреть вариант DES-3028.

То, что задачу можно решить с помощью 3526, я знаю. Мне интересно можно ли ее решить с помощью 3026, или все же нужно покупать более дорогое решение.

Раз уж зашел разговор о ACL в 3026 (имеется в виду CPU Interface Filtering), то не до конца понятно как они работают. Например, в качестве эксперимента следующим образом хочу запретить определенному МАК-адресу доступ в сеть:

и ничего не работает - "запрещенный" хост все равно имеет доступ к сети. Что я делаю неправильно?

Вы не сможете запретить обычный коммутируемый трафик при помощи этих правил. Только трафик перенаправляемый на интерфейс CPU может фильтроваться при помощи них.

А каким образом осуществляется перенаправление трафика на интерфейс CPU?

Как я понял, вариант DES-3026 для данной задачи не подходит. Либо 3526, либо чуть дешевле вариант DES-3028, правильно?

Трафик перенаправляется в зависисмости от включённых функций и его типа. Но это как я уже говорил не весь трафик. Именно так вам нужен или DES-35XX или DES-3028/3052.