Для привязки IP пользователя к порту используем следующие правила:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.3.203 port 1 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 1 ip source_ip 192.168.3.203 port 1 deny

Проблема состоит в том, что для проверки: "Существует ли привязка IP к данному порту", не получаем IP-адрес в запрещающем правиле.

DES-3526:4#show access_profile profile_id 20
Command: show access_profile profile_id 20

Access Profile Table

Access Profile ID : 20
Type : IP Frame Filter
Owner : ACL
Masks :
Source IP Addr DSCP
--------------- -----
0.0.0.0
Access ID: 1
Mode : Deny
Owner : ACL
Port : 1
--------------- -----
0.0.0.0 xx-xx

По SNMP ".1.3.6.1.4.1.171.12.9.2.2.1.4." - тоже возвращает 0.0.0.0

Возможно ли написать профили и правила для привязки IP к порту, чтобы можно было получать IP в запрещающем правиле?

Непонятна Ваша логика.
1 правилом Вы разрешаете прохождение пакетов от клиента.
2м правилом - Вы запрещаете все пакеты.
Почему нельзя проверить наличие привязки по 1-му правилу?
Чем Вас не устраивает IMP-Binding?

IP-адрес в заперщающем правиле Вы не увидите, тк изначально в поле маски Вы указываете все ИП адреса без исключения.

а кто мешает? сделайтеи будете видеть ... хотя ув. Максим прав, Ваша логика несколько непонятна ...

То ли я слепой толи за окном час ночи.

Где найти этот спасительный IMP-Binding????

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

show address_binding ip_mac
config address_binding
Подробности:
http://ftp.dlink.ru/pub/Switch/DES-3526 ... ual+R5.zip

А так это IP-MAC Binding Так это мы знаем.

Но как оно поможет решить задачу привязки только IP к порту?

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

ACL
1. Разрешить ИП клиента на порту.
2. Запретить все остальные адреса на порту.

Простите за назойливость но видимо я чего-то не допонимаю... какая связь между IP-MAC Binding и правилами ACL?

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

IMP-Binding - привязка по мак, ИП и порту.
ACL - можно привязывать или по маку, или по ипи тд... Очень много вариантов.
Посмотрите примеры в FAQ

Связь только одна это когда Вы настраиваете IMP ACL mode создаются правила типа Packet Content Filtering при включении функции на порту.

Делаю все как описано вот здесь http://www.dlink.ru/technical/faq_hub_switch_83.php

Все, конечно, замечательно работает, IP блокируется. Но у меня компы получают IP от DHCP сервера и соответственно, если прописать как описано в FAQ, тогда при получении IP от DHCP сервера, клиент не может получить IP из-за того, что запрос идет с 0.0.0.0 IP. Как решить данную проблему?

Просто до запрещающего правила добавьте ещё одно разрешающее запросы с адреса 0.0.0.0. Маску при этом укажите 255.255.255.255.

create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.1.1 port 5 permit
config access_profile profile_id 10 add access_id 2 ip source_ip 0.0.0.0 port 5 permit

# Настройте запрещающее правило для всех остальных IP-адресов
create access_profile ip source_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 5 deny

Так?
Странно, а в последнем профиле я тут же запрещаю IP 0.0.0.0 как так? И еще стало интересно, почему во втором профиле стоит access_id 2, вроде как можно же с самого начала нумеровать?

Получается на 1 порт тратится 2 access_id. Может есть другое решение?

Правильно. В первом профиле Вы разрешаете трафик со 192.168.1.1 и с 0.0.0.0. Так как маска 255.255.255.255 то должно быть полное совпадение со значением в правиле. а вторым профиле Вы запрещаете весь остальной IP-трафик с порта. Так как маска 0.0.0.0 то какой адрес в правиле неважно. Таким способом по другому нельзя. Но ведь есть например IP-MAC-Port Binding.

хорошая вещь IMB, но сейчас клиенты пошли, у которых 3 компа, 5 ноутбуков и перетыкают кабель с одного в другой. Так что не получается делать такую жесткую привязку.