Добрый день
Задача - использовать на DES-3526 IP-MAC Binding что бы отсекать доступ к сети неизвестных ip+mac+port НО необходимо это сделать так что бы неизвестные ip+mac+port могли заходить на сервер 10.13.13.13

Как я пытался это сделать - создал 2 access_profile следующего содержимого
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip 10.13.13.13 port 1 permit

create access_profile ip source_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 10.13.13.13 port 1 permit

Т.е. пакеты к/от 10.13.13.13 должны всегда пермититься так как у них наименьший ProfileID

Далее я включил ACL Mode=Enabled и добавил связку
10.13.200.200 00-00-ff-87-3d-70 1
Mode=ACL

Далее я в таблице IP-MAC Binding Port State Table добавил обработку биндинга на 1 порту

После всех этих действий в Access Profile Table добавились 2 строки с автоматически созданными Access Profile
1 IP ACL
2 IP ACL
3 Packet Content Mask Address_binding
4 Packet Content Mask Address_binding

В О Т Ъ
Таким образом по поей задумке независимо от того денится ли пакет не вошедший в таблицу IP-MAC BindingPortStateTable или пермитится если такая запись имеется, то все равно пакеты до 10.13.13.13 должны на/от него проходить ч/з свитч т.к. у указанных мной разрешающих правил ProfileID наименьший.

НО

логика обработки ACL в данном случае почему-то не действует и при отсутствии записей в IP-MAC BindingPortStateTable доступа к 10.13.13.13 НЕТ.
(версия прошивки 4.01-B19)

Убедительная просьба сотрудников Dlink прокомментировать это досадное проишествие

Если есть какие-либо способы решения описанной выше задачи - напишите.

Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390.

Может быть с вами можно связаться по icq/jabber/skype ??? а то мы в новый офис переехали - телефонов пока нет

ап ???
Неуженли ни у кого не возникало такой потребности???

Вчера нашел решение данной задачи, итак

Задача - использовать на DES-3526 IP-MAC Binding что бы отсекать доступ к сети неизвестных ip+mac+port, но оставить открытым доступ на сервер 10.13.13.13 (это может быть сервер статистики, биллинга или что-то другое).

Для этого необходимо обновить firmware до версии 5.01-B36 с поддержкой IP-MAC Binding Permit IP Pool

Создаем AccessProfile для исходящих к серверу пакетов на 10.13.13.13
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip 10.13.13.13 port 1 permit

Создаем правила для приходящих от сервера пакетов на клиентский диапазон 10.13.0.0/16
create address_binding permit_ip_pool start_ip 10.13.0.0 end_ip 10.13.255.255 ports 1-24

Включаем обработку IP-MAC Binding на клиентских портах
config address_binding ip_mac ports 1-24 state enable

На этом настройка закончена. Если нужно включить доступ клиента к сети - добавляем запись в IP-MAC Binding Table запись в режиме ACL
config address_binding ip_mac ports 1 allow_zeroip enable
enable address_binding acl_mode
create address_binding ip_mac ipaddress 10.13.X.X mac_address XX-XX-XX-XX-XX-X ports 1 mode acl

Рад слышать!