IP-Mac-Bilding в идеале включается на конечном порту пользователя...
тем самым - будующие проблемы отсикаем в момент рождения

Ну вот как-то не получается ибо не везде ETh. Есть Wi-Fi с которого-то и прут все проблемы.

ТАк всётаки спецы по VLAN поделитись опытом как ришить задачу. Желательно в виде понятном для простых смертных Заранее спасибо.

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

поподробней схему сети плиз.

я думаю писать тебе ACL на каждый VLAN и диапозон разрешёных IP в нём.

тем самым ты запретиш "ненужные" IP на комутаторе... но проблемы на неупровляемом оборудовании остануться

Вот общая схема сети.

На коммутаторе DES-3350SR уже настроенны ACL на запрет NetBios трафика. К нему подключенны клиентские "неуправляемые" коммутаторы, ADSL и WiFi всё это дело объеденино под одним названием "Client Net".

Так же к этому коммутатору подключён основной сервер компании это "DNS, Mail, FireWall" на Линхсовой операционке соственно я туда не лезу. Моя головная боль это виндовый NAT сервер за которым прячется новый проект в виде домашней сети. Плюс к этому коммутатору подключенны ещё куча служебных серверов которые тоже неплохо бы защитить от попытки забрать их IP.

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

ещё бы IP сетей написал было бы вообще счастье
а ХОМЕНЕТ в другой 192.168.27.х
и так что бы я сделал, надеюсь пара свободных портов на коммутаторе есть.
1. создал новый изолированный vlan
2. добавил в него два свободных порта в один твой виндовый сервер, в другой ХомеНет
3. на порту ХомеНет прописал АЦЛ на запрет исходящий IP твоих серверов, свитчей и прочего оборудования, IP назначения может быть любой.
4. если клиентов не много то для верности к каждому IP привязал MAC клиента, IP-MAC-Bilding в режиме ACL

надеюсь мысль понятна, если пользователь ХомеНет присваивает себе "запрещенный" IP, и пытается зайти на сервер или ещё куда, то он должен пройти через свич на котором АЦЛ зарежет запрещенные пакеты - себя тем самым ты обезопасишь.
Но останется проблема что пользователи ХомеНет меж собой будут общаться в одной сети без захода на главный коммутатор и тем самым наша блокировка их не спасёт. выход изолировать каждого пользователя в отдельный влан или каким нибудь чудом запретить общаться меж собой сегментация трафика или ещё чего, что бы все пакеты бегали через главный свитч, где у нас на каждый мак есть ip и другие пакеты также будут блокироваться.

по командам расписывать?

Да с HomeNet как раз проблем нет. Проблемы с ClientNet именно с неё присваивают IP.

Но общий принцип понял.

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.