DES-3526 - порт 1 к ADSL модему. Порт 3 - ветка из 10 компьютеров соединены между собой неуправляемыми свичами. Порт 26 - ещё ветка из 50 компов соединены между собой тоже неуправляемыми свичами. Порт 8 - мой комп. На портах 3 и 26 настроена и включена IP-MAC-port Binding ACL mode. VLAN по умолчанию - default.
Один умник из ветки где 50 компов кривыми ручками выставляет у себя IP модема - того что на порту 1. Естественно вся ветка интернета не имеет. Если у меня было VPN соединение с интернетом - то оно остаётся до момента пока я не разорву VPN соединение. Снова законнектиться не получается. Та же ситуация и у ветки на порту 3. Через некоторое время интернета нет ни у кого.
1. Есть ли возможность изолировать вредителя без VLANов?
2. MAC адрес вредителя был в блок-листе но вот причины почему он туда попал нигде не указано. Вопрос к представителям D-link: Планируется ли в будущей прошивке сделать блок-лист более информативным?

Пришлите пожалуйста конфиг файл коммутатора.

Спасибо конечно за совет - везде использовать управляемые свичи. На данный момент это невозможно. Но в моём понимании функция IP-MAC-port Bindig должна работать так чтобы не допустить проблем в остальных сегментах, подключённых к другим портам. А так получается - злоумышленник попал в блок-лист и что? Интернета нет ни у него, ни у остальных пользователей. В таком случае какой смысл приобретения DES-3526? Те же проблемы были бы и с обычным неправляемым свичом.

learn
судя по твоему письму у тебя модем является маршрутизатором между ССОП и твоей сетью + терминирует клиенткие ППТП. +Абоненты кот находяться в 3 и 26 порту - находться в одной ай-пи подсети вместе с внутренним интерфесом твоего модема. (по скольку не сказано иного).

Так ?

да все в одной посети и через модем устанавливают VPN соединение к провайдеру

[quote]да все в одной посети и через модем устанавливают VPN соединение к провайдеру[/quote]

[quote]
Один умник из ветки где 50 компов кривыми ручками выставляет у себя IP модема - того что на порту 1. Естественно вся ветка интернета не имеет. Если у меня было VPN соединение с интернетом - то оно остаётся до момента пока я не разорву VPN соединение. Снова законнектиться не получается. Та же ситуация и у ветки на порту 3. Через некоторое время интернета нет ни у кого. [/quote]

Т.е. ВПН сервер (ППТП) стоит не у тебя а у присоединяющего оператора (провайдера)?
Похоже у тебя не работает IP-MAC-port Binding ACL mode (мак злоумышленника - точно попадает в блок лист ?? )Вышли кусок конфига где как ты создаешь IP-MAC-port Binding ACL mode
Твоя проблемма решается только частично.
1.создай acl, кот позволял бы ходить пакетам с ай-пи и мак (роутера) только от(к) порту к которому он подлючен.
см форум и примеры на сайте
2.Привяжи мак модема-роутера к порту к которому он подлючен.

В таком случае без интернета останеться только та ветка где была подмена ай-пи.

Кстате зачем тебе IP-MAC-port Binding ACL mode - если есть авторизация по впн.

p.s. для решения твое проблемы можешь попробовать еще вот такой костыль
попробуй с роутера постоянно (раз в сек) пинговать броудкастовый адрес твоей сети с минимальным размером пакета

попробовал внести MAC адрес в Static ARP. Может поможет - но возобновлять проблему как то не хочется

Хотелось бы видеть блок-лист в таком виде:

Номер порта на котором заблокирован юзер.
Показывать не только мак адрес заблокированного, но и его ай-пи.
Выделять в блок-листе (например красным цветом) причину блокировки, например если не совпал мак, то выделяется мак, если ай-пи, то соответственно ай-пи.