Подскажите пожалуйста можно ли решить следующую задачку на 3526:

1. Фильтровать трафик на основе IP-MAC в режиме ACL с заполнением таблицы разрешенных адресов с помощью DHCP Snooping (вроде эта штука уже рабоает и по ней вопросов нет);
2. После того как пользователь успешно пройдет фильтрацию IP-MAC необходимо промаркировать его трафик.

В ACL не получится использовать функцию IP-MAC-Port Binding. Альтернативный вариант решения данной задачи - это использование ARP режима. Далее, создать три профиля в ACL: в первом Вы разрешите ARP-ы до DHCP сервера от динамических клиентов, во-втором, Вы будете перемаркировывать валидные связки IP-MAC, и в третьем Вы заблокируете весь остальной трафик для увеличения безопасности сети.

_________________
С уважением,
Бигаров Руслан.

ок, спасибо за совет.

У меня вопрос по поводу второго профиля, каким образом я узнаю что трафик является валидным относительно IP+MAC?

Так Вы должны в правилах указать эти связки.

_________________
С уважением,
Бигаров Руслан.

Вы говорите о связках ip+mac? Но ведь они будут динамическими, т.е. заранее я их указать не смогу.

Можно например просто маркировать трафик этого VLAN-а на этом порту. Правила IMP то уже отрабатывают. Это если использовать IMP с режимом DHCP Snooping. А если ACL как советовал во второй части поста Руслан, то сразу в этих правилах при разрешении определённой связки. Кстати одновременно фильтровать по IP и MAC тоже можно при помощи Packet Content Filtering. Вот примеры которые помогут разобраться http://www.dlink.ru/technical/faq_hub_switch_90.php