доброго времени суток.
Никак не получается освоить ACL, поэтому вопрос.
Как реализовать такое (и вообще возможно ли):
1 пакеты по IP MAC PORT попадают в определённый VLAN
остальные в другой

2 как это повлияет на организацию CoS/QoS ? будут сложности?

3 как это отразиться на работе DHCP ?

Это при помощи ACL сделать нельзя. Может быть Вам MAC-based VLAN нужен?

У меня примерно та же задача. Не видел этого вопроса, задал вопрос в другой ветке. Было бы не плохо узнать, как реализовать сие чудо да ещё и на нетегированном порту?

а какой в этом смысл если юзер может себе выставить любой МАК и попасть в тот vlan куда вы его не хотите пускать ?

IP-MAC-PORT - сложнее

.
Возможно и это... но ещё и IP-MAC-PORT проверку
в режиме ARP я понимаю, те кто не прописаны просто будут заблокированны.

если в краце нужно что бы пользователи у котрых не совпадает IP-MAC-PORT попадали в отдельный VLAN
если есть есть способ использовать MAC-based VLAN и IP-MAC-PORT BINDING (ACL) в связки думаю меня устроит

а если не сикрет где вы хотите применить данное решение?

если хотите отдельного влан-а для левых или отключеных пользователей с централизованым управлением то вам прямая дорога к dot1x.

Если у вас адреса раздаются через dhcp то что мешает заставить dhcp сервер для "правильных" комбинаций mac-port dhcp выдавать "правильные" IP, для "неправильных" - "не правильные" ? А address-port-binding + dhcp_snooping сделают невозможным назначений адресов вручную.

2 KabaH
пусть себе выставляет. Там нет ничего. Само оборудование защищено (да и беЗполезно для обычного хацкера). Маршрутизируется только туда, что обслуживает эти железки.

2 AleX-gRey
Используется для технологии.

DHCP не пойдет, т.к. это не решает задачу с НЕнарезкой технологической подсети на кусочки и НЕпрописывания вторичных адаптеров во VLAN-е.

При этом я ограничен тем, что нет возможности технологию или каждого клиента втыкать в L2-свитч. В противном сл. вопроса бы и не возникло.

1 я где-то читал что если пройти авторизацию и после поменять IP будет работать..
2 АСР на котрой базируется узел поддерживает EAP-MD5 где-то читал что при каждом включении ПК юзер будет вводить пароль... не айс



если "не правильные" адреса будут иметь доступ на один какой-нито сервер, то оно подойдет...
если так то можно поподробней....

если юзера dot1x закинул в guest vlan то какой бы он себе ip не поставил за пределы этого vlan-а он не вылезет.

по поводу address_port_binding в сочетании с dhcp_snoop-ингом я сам сейчас с этим экспериментирую. Как будут результаты - отпишусь.

имено после авторизации.. заменил IP и полез в инет за чюжой счёт

Просто используйте в Вашем случае IMP. MAC Based VLAN есть например в DES-3528.

в теме поста 3526.. 4 уже есть надо решать на них

данная модель не поддерживает то что я хочу ((((
Придеться использовать ACL на первое время

пошарил в интернете. данная модель появилась не давно. с ней не будет сложности как DAS-3248 rev.B ?
ещё придется поискать где её купить...