Скажите плиз, есть неуправляемая сеть и один des-3526 в который воткнут сервер с биллингом и другими сервисами. В сети бродит вирус(хакер) который подменяет чужие маки на свой. Интернет конечно отваливается. Как нужно постутить в данной ситуации, чтобы хотябы не было подмены мака сервера, который воткнут в 3526? использовать port Security или IP Bindingю Расскажите плиз подробно, я первый раз сталкиваюсь с управляемым оборудованием.

Почитайте вот этот FAQ. http://www.dlink.ru/technical/faq_hub_switch_115.php Я думаю многое станет понятно. Естественно следует стремиться к тому чтобы пользователи подключались сразу к управляемым устройствам. В этом случае осуществить такую фильтрацию будет значительно проще.

Так как у меня в этот свич воткнуто только 2 кабеля (сервер и общая сеть), решил запретить с помощью ip mac binding. Для порта в который воткнута сеть прописал привязку ип+мак всех хостов сети в Mode ACL. По идеи на свиче должна срабатывать блокировка если происходит не соответствие, НО почему-то отключать стало и те машины, на которых никакой подмены не происходило. Что я не так делаю?

И еще вопрос, этот свич по дефолту не может работать как dhcp сервер? У меня в сети клиенты стали получать адреса из диапазона 192.168.159.x все настройки по dhcp вроде бы отключены...

У Вас какая версия прошивки? Как DHCP-сервер этот свитч работать не может.

как уже было сказано - использовать ACL ...

+1000

нет! Вы слишком многого хотите от столь простой (не по функционалу, а просто потому что это L2) железки ... предупрежу сразу - она не бегает за пивом, не приносит кофе и не делает вообще ничего кроме того что укладывается в понятие "хороший свич 2-го уровня"!

_________________
с уважением, БП

По ссылке мало что понял Объясните плиз как для чайника как решить эту проблему? В 25 порт воткнут сервер с виндой, в 13-ый общая неуправляемая сеть. То ли вирусы то ли хакеры подменяют ip на ip сервера и связь с сервером попадает. Как исключить эту проблему перед сервером? И хотелось бы настроить через веб интерфейс, чтобы я наглядно понял...

смотрите - кто-то находящийся за 13-м портом выставляет себе IP адрес сервера находящегося за 25-м портом ... т.к. свичи не умеют фильтровать выходящие из порта пакета, а фильтруют только входящие, то, соответсвенно, необходимо запретить коммутацию пакетов входящих в 13-й порт и меющих IP адрес сервера ... допустим IP адрес сервера - 192.168.0.1, тогда ACL для 13-го порта будет выглядеть вот так:

таким образом на 13-м будут отброшены все пакеты в которых IP адрес клиента == IP адресу сервера ... так понятнее?

про веб лучше забудьте сейчас, сразу, быстро, решительно! дело в том что Вам тут всегда подскажут, но подскажут что и как делать в консоли ... там не менее, а, IMHO, и даже более наглядно, просто привыкнуть надо

_________________
с уважением, БП

Все понятно, спасибо. Правило прописал, но сменив на ноуте ip на ip сервера, на серваке винда показала ошибка Конфликт IP адреса...

ноут подключен в 13-й порт?

_________________
с уважением, БП

Этот трафик из общей сети заходит в 13-ый порт...

странно ... правило должно было сработать ... покажите все Ваши ACL, может проблема в них?

_________________
с уважением, БП

А arp кто запрещать будет ?

изначально писалось про IP:ARP конечно тоже нужно закрыть, чем нить в духе этого (упрощенный вариант):

где 00-0a-0b-0c-0d-00 - МАС сервера, но, повторюсь, речь шла о подмене IP адреса ...

_________________
с уважением, БП

Пока закрыты только IP в IP пакете и МАС.
А кто закроет IP в arp пакете ?

А ваще, - каждого юзверя на умный порт и не разрешать даже пукнуть без вашего согласия .