Здравствуйте!
Я тут опять про старое: http://www.dlink.ru/phorum/viewtopic.ph ... highlight=
в Уфимском офисе мне сказали, что у них все работает, поэтому пишу опять сюда!!!
Повторюсь суть в следующем:
Есть Интернет сервер (Винда 2003 sp, заплатки, 2 внешних интерфейса (Интернет), 1 внутренний (Локальная сеть)), настроена маршрутизация. Клиент работает через NAT
Сервер подключен к «тупому» свичу, который в свою очередь подключен к DES 3526 к порту № 1 его связка IP-MAC прописана в IP-MAC Binding Table в ACL mod

Есть клиент, подключен к порту № 2. его связка IP-MAC прописана в IP-MAC Binding Table в ACL mod
ACL Mode – Enabled
IP-MAC Binding Port State Table 1 и 2 порт - Enabled
Они друг друга видят, друг друга пингуют, то есть все вроде нормально, но вот Интернет у клиента НЕ РАБОТАЕТ!!!
Отключаю ACL Mode – Disabled Интернет начинает работать.

Сначала грешил на коммутатор, взял в Уфимском офисе D-Link на тестирование другой, такая же фигня не работает инет!

В чем проблема?

выключи на том порту где сервер IP-MAC Binding

я зна что если выключить IP-MAC Binding то будет работать, дело в том что нельзя выключать

По другому как отключить эту функцию на порту сервера в вашем случае реализовать эту схему не удастся.

что то я не доганяю сервер то доступен, почему именно инетовские пакеты режутся?
И почему у них в Офисе работало с такими же настройками?
единственное отличие у них аппаратный маршрутизвтор стоял Д-линк, модель не помню, а у меня сервер с Виндой 2003

Так в этом то и есть основное отличие. У Вас в этом случае адреса не всегда совпадают при ответе с адресом сервера. А интернет-шлюз всегда свои адреса подставляет в ответе.

хмм... получается что не не всегда а всегда, ибо вобще не работает

Вобщем приплыли, то есть вы хотите сказать что с вашим оборудованием работает нормально а с чужим нет и теперь мне придется купить ещё и ваш маршрутизатор?

попадробнее пожалуйста, что конкретно не совпадает?
вот пример моего пакета вроде все стандартно

0x0000 00 0C 6E 39 9E C1 00 60-08 07 41 29 08 00 45 00 ..n9ћБ.`..A)..E.
0x0010 00 DD D0 7B 00 00 80 11-E8 3F C0 A8 00 01 C0 A8 .ЭР{..Ђ.и?АЁ..АЁ
0x0020 00 03 00 35 08 C6 00 C9-EA 29 81 EA 81 80 00 01 ...5.Ж.Йк)ЃкЃЂ..
0x0030 00 01 00 04 00 03 03 77-77 77 04 69 78 62 74 03 .......www.ixbt.
0x0040 63 6F 6D 00 00 01 00 01-C0 0C 00 01 00 01 00 00 com.....А.......
0x0050 69 44 00 04 D9 49 C9 23-C0 10 00 02 00 01 00 00 iD..ЩIЙ#А.......
0x0060 69 44 00 14 06 71 77 65-6E 64 79 0A 64 69 67 69 iD...qwendy.digi
0x0070 74 2D 6C 69 66 65 C0 15-C0 10 00 02 00 01 00 00 t-lifeА.А.......
0x0080 69 44 00 10 02 6E 73 08-61 76 74 6F 62 61 6E 6B iD...ns.avtobank
0x0090 02 72 75 00 C0 10 00 02-00 01 00 00 69 44 00 09 .ru.А.......iD..
0x00A0 03 6E 73 31 02 69 74 C0-66 C0 10 00 02 00 01 00 .ns1.itАfА......
0x00B0 00 69 44 00 06 03 6E 73-32 C0 7A C0 5A 00 01 00 .iD...ns2АzАZ...
0x00C0 01 00 04 5D C4 00 04 D4-2D 01 A5 C0 76 00 01 00 ...]Д..Ф-.ҐАv...
0x00D0 01 00 04 5D C4 00 04 D4-1E B6 41 C0 8B 00 01 00 ...]Д..Ф.¶AА‹...
0x00E0 01 00 00 35 04 00 04 50-F0 72 41 ...5...PрrA

я конечно мало понимаю во всех терминах и тд
но думаю что дело все в NAT в трансляции адресов
зачем тебе эта функция на этом порту? Что бы не допустить смены адресов других компов которые подключены к тупому свитчу?
Помоему ничего из этого не выйдет, поставь вместо свитча еще один коммутатор такой же и проблем не будет, на один порт серваак и не включай ему никаких IP-MAC Binding

проблемму победил, добавив следующее правило
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF 802.1p profile_id 1
config access_profile profile_id 1 add access_id 2 ethernet source_mac 00-60-08-07-41-29 802.1p 0 port 1 permit

может не совсем корректно, во всяком случае инет работает
Но вопрос выше остался открытым что не так в пакете?

и ещё один вопрос как должно выглядить правило что бы свич пропускал пакеты даже с тех адресов что не прописаны в IP-MAC Binding Table НО только на определенный IP или MAC или лучше на связку IP-MAC?

Да похоже что проблемма в NATе, но Винда это не NIXы в плане распространенности, и уж с чем с чем а с Виндой могли бы свое железо подружить!

да можно конечно потратить кучу денег и заменить все тупые свичи на умные даже циску можно купить(возможно что на ней не будет такой проблеммы), но жаба то душит
У меня сеть домашняя не комерческая и раз уж купили DES-3526 то хотелось бы что бы он оправдывал свои деньги а не просто стоял как тупой свич.
ACL довольнотаки гибкая штука, для меня она сначала тоже темным лесом была, щас потихоничку стал вьезжать, но видать еще не совсем вьехал, понимаю что такую то задачу (например постом выше) можно реализовать и даже вроде знаю как, но почему то не работает как хотелось

Проблема как Вам и сказали абсолютно не в нашем коммутаторе, а как Вам и сказали в такой реализации NAT. С любым интернет-шлюзом всё будет в порядке. А у Вас скорее всего просто проставляется в ответах адрес не сервера, а отвечающей стороны извне, поэтому и срабатывает функция IP-MAC-Port Binding. Как Вам уже и сказали варианта у Вас два:
1) Отказаться на серверном порту от функции IP-MAC-Port Binding. А вообще-то более правильно подключать сервер к управляемому коммутатору напрямую.
2) Написать правило как Вы и сделали, т.е. разрешить всё с определённого MAC-а, я так понимаю это MAC сервера при выключённой функции IP-MAC-Port Binding, а потом включить эту функцию.