Есть офисное здание.
5 этажей, на каждом стоит DES-3526 (L2+), с каждого офиса идёт линк к десу., всего 21 офис, тоесть 21 линк.
В каждом офисе стоит DES-1008D, и того получается что на каждом этаже
21*7 == 147 пользователей.
С каждого этажа идут по 2 линка в серверную (25-26 порты).
В перспективе - терминация этого всего добра на DGS-3312R (L3), пока 2,3,4,5 этажи терминируются на DES-3526 первого этажа (настроен Link Aggregation).

Есть подсеть 10.45.96.0/20
На каждом этаже есть 21 офис (на первом всего 16 офисов).

Сообсвтенно схема відачи айпишников следующая.
Магистральные свичи (на этажах) - 10.45.100+номер этажа.1 (тоесть 10.45.101.1, 10.45.102.1, 10.45.103.1, 10.45.104.1, 10.45.105.1).
Сервер - 10.45.100.1

Офисы на этажах имеют следующие айпишники - 10.45.100+номер этажа. (номер офиса*10) + 1-7.
Тоесть например офис №6 на 4 этаже имеет следующие айпишники -
10.45.104.61 -- 10.45.104.67

Пока дхцп нету, и привязок по маку и по порту нету.
Всёвыставляется пока вручную, некоторые особо хитропопые, мекняют себе айпишники, что очень не нравится мне, стоит задача
ограничить количество айпишников на порту только теми что разрешены.

Тоесть например что бы на 4 этаже в 6 офисе сеть работала только тогда, когда клиент в этом офисе имеет адрес в диапазоне 10.45.104.61-67,в противном случае, что бы дес-3526 резал трафик.

Ну максимум что тогда будут видеть эти пользователи, это компютеры в границах офиса (ибо в офисах стоят тупые дес-1008д).

Тоесть нужно сделать приявязку диапазонов айпишников к определённым портам на дес-3526.

Сообсвтенно прошу помощи в этом деле.
Заранее благодарен.

Сразу оговорюсь, что привязка айпи-порт-мак пока не реальна, ибо очень часто меняются компютеры (у всех по несколько ноутов),и основная задача, просто резать трафик с айпишников, которые не разрешены на данном порте.

Всё просто
созлаёш ACL на этажных DES-3526
1. профиль разрешить с такимито source IP
2. запретить всё.

примерно вот так
# For IP SRC(X.X.X.0) On Client Ports
create access_profile ip source_ip_mask 255.255.255.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 10.45.104.0 port 1 permit

# For Deny All
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1 deny


source_ip_mask 255.255.255.0
задаёт маску по которой IP сравнивать будет.
думай сам или адресацию меняй или на каждый соурс отдельное правило, смотря что экономить будеш IP или ACL

_________________
Спасибо.

Не всё в жизни физика, ещё есть тонкие материи. (с) дежавю

Согласен с Morpeh, нужные правила.
А что мешает внедрить IP-MAC Binding? автоматизации нету?

Наверно это мешает

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

к тому что написал Морпех добавьте еще http://www.dlink.ru/technical/faq_hub_switch_115.php
чтобы не было конфликта IP адресов

в новых прошивках ip-mac-port binding умеет слушать dhcp пакеты, а ноутбуки обычно только по dhcp и получают адреса.