Уважаемые сотрудники Dlink, вопрос к вам следующий: возможно ли чтобы в новых прошивках для ip address binding в режиме ACL добавили опцию arp inspection позволяющую фильтровать на порту кривые ARP ответы. В настоящее время это достигается content based ACL-ями, но конфиг получается громоздкий и трудночитаемый.

Возможно что-то подобное будет сделать. Сейчас мы занимаемся подобной проблемой. Какая у Вас версия прошивки?

Я использую 5.01-B01.

По последним уточнениям с производителем это невозможно к сожалению. Используйте ACL для блокировки ARP-ов. Я Вам завтра вышлю прошивку в которой проблем с IP-MAC-Port Binding не наблюдается и всё поправлено. Но описанная ситуация с ней не изменится.

Странно, я почемуто думал что address binding в режиме acl работает именно через ACL (съедая кстати при этом парочку записей ACL) и что аппаратно нет никаких ограничений заставить его фильтровать и arp-ы (съедая при этом еще 2 записи), дело только в правильном программировании ASIC-ов выполняющих фильтрацию со стороны софта. Может производитель чтото не правильно понял или просто облом это делать т.к. фича востребована только в домашних сетях ?

А что за проблемы с address binding наблюдаются в используемой мной прошивке ? Я чтото пока их не заметил

Как Вы знаете блокировка идёт в этой функции по MAC-адресу соответственно при смене IP-адреса и при отсылке ARP-ов они сначала идут на CPU а потом отфильтровываются. Поэтому иногда проблема конфликта IP-адресов проскакивает и в ACL режиме. Поэтому используйте стандартные ACL для дополнительной фильтрации ARP-ов. Но даже в этом случае без дополнительных ACL не происходит блокировки кого либо из валидных адресов с последней прошивкой. В ARP режиме мы работаем над блокировкой первого ARP пакета чтобы в нём тоже такие случаи были исключены. Я Вам прошивку выслал.

За прошивку спасибо.

А если managment интерфейс коммутатора находится в vlan-е отличном от того в котором сидит юзер то ARP-ы прежде чем быть отфильтрованы тоже пойдут на CPU ?

Я думаю что не должны.