И так цитирую:

"DES-3350SR осуществляет Списки контроля доступа, которые дают возможность комутатору блокировать доступ к сети на определенные устройства или группы устройств, основанные на параметрах настройки IP или MAC."

Хачу чтобы не "IP или MAC", а чтобы "IP и MAC" как добиться и возможно ли?
Никаких претензий просто вопрос

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

А если статик арп + фильтрация по IP или МАС?
Просто фильтры создаете либо ethrnet, либо IP.
В одном правиле сразу их не объединить.

На самом деле жаль что так низя.
У меня была идея сделать так: создать сначала профиль ip, в котором пакетам с проверяемым ip выставлять какой-нибудь экзотический DSCP, а в следующем профиле, уже ethernet, выбирать по этому DSCP полю и в случае несоответствия определённому маку запрещать при нужде.
Сразу оговорюсь, что сам не пробовал, ибо для нас это по-любому роскошь непозволительная, ибо как минимум два или три профиля расходуется. А их всего 10. И все при делах.

НЕ совсем понял о чём речь? Чуть подробнее.

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

статик АРП - это не что иное как связка МАС _И_ IP. После этого сочиняете правило, либо только по МАС, либо только по IP, а в сумме получаете сразу МАС, IP, и правило.
Т.е. если у вас запрещающее правило для ip 10.0.0.100, и на этот адреса привязан МАС (через статик арп), то и получаем, что клиент не сможет подменить свой ip - его коммуатор не пустит.

Павел, правила писать в Access Profile Table ???
Если да то пытался да действительно закрывает доступ но только на себя (веб интерфейс) Пинги проходят, интернет бегает

Ладно чтобы тысячу раз не спрашивать описываю свои действия

Захожу в Static ARP Settings, прописываю:

ip: 192.168.0.1 mac: 00-80-48-28-A4-99
ip: 192.168.0.2 mac: 00-80-48-28-A4-00

Захожу в Access Profile Table, создаю два профиля:

Profile ID: 1
Type: IP
Source IP Mask: 192.168.0.1
Mode: Permit

Profile ID: 2
Type: IP
Source IP Mask: 192.168.0.2
Mode: Permit

все остальные параметры не трогаю.

На своей сетевой карте с МАКом 00-80-48-28-A4-99 ставлю IP 192.168.0.1 всё работает Доступ к Свичу есть (веб интерфейс), пинги летают, Интернет бегает.

На тойже сетевой карте (МАК тот-же) ставлю IP 192.168.0.2 неработает только доступ к Свичу, всё остальное так-же бегает.

А мне нужно чтобы ни один бит от незарегистрированного IP в связке с MAC не проскочил.

Скорее всего чего-то я неправильно сделал, вопрос к многоуважаемой публике где ошибка?

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

почему у обоих профилей стоит "Permit"
Надо у второго запретить.
Точнее, первый профиль вообще не нужен - он дублирует днйствие по умолчанию

_________________
С уважением,
Крутских С.В. , консультант по проектам
D-Link Russia, Н.Новгород

Объясняю
Мне нужно чтобы работать мог только человек у которого соответствие IP и MAC удовлетворяет статической таблице MAC!
По идее меняя свой IP на воторой IP я не должен удовлетворять данному условию (ибо мак не совпадает) а получается что мне закрывается доступ только на управление Свичом и всё, пинги ходят, интернет бегает!

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

А свитч используется как шлюз подсети? Если свитч просто используется как коммутатор второго уровня в данном случае, то вполне закономерно что не работает механизм static arp.
Статическую привязку мака к ip надо всё таки делать на шлюзе интернетовском.

В качестве шлюза используем Циску, попытки порезать там связку IP и MAC не увенчались успехом ибо специфика механизма прописывания оканчивается нехваткой памяти в Циске!

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

Ну так то Циска ! У нее часто бывает ретроградная амнезия

А что бы желаемое начало работать, в коммутаторе должны быть задействованы функции 3-го уровня. Т.к адрес инет-шлюза, я подозреваю, тоже 192.168.0.х, то происходит чистая коммутация, проверяется только МАК-адрес порта назначения.
А делать можно примерно так :
порты клиентов объединить в VLAN, напр. 10
исходящий порт поместить в VLAN, напр. 20
задать адреса вирт. интерфейсов, напр. 192.168.10.1 и 192.168.20.1
Профили прописывать не надо, т.к. они только будут дублировать умолчательный профиль.
Запрос в инет пройдет, но при получении ответа пакет будет , после просмотра ARP-таблицы для "левого" адреса, отправляться на правильный МАК-адрес. Т.е клиент с "левым" адресом ответ не получит.

_________________
С уважением,
Крутских С.В. , консультант по проектам
D-Link Russia, Н.Новгород

Извиняюсь за наглость, но хотелось бы чуть подробнее, если вы не возражаете?

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

тогда прошу в мыло

_________________
С уважением,
Крутских С.В. , консультант по проектам
D-Link Russia, Н.Новгород