Проблема: В сети бродит вирус на клиентских компах. Действие вируса - берет себе второй айпи адрес как у сервера интернета (то что прописано на компе как ДНС или основной шлюз). соответсвенно все остальные компьютеры начинают коннектиться к нему, думая что это сервер. Решение - приходиться отключать порт на котором такое безобразие. Пробывал включать IP-MAC Binding Port - не помогает. (тоесть прописываю мак и айпи - всё работает, но айпи сервака он себе всё-равно ставит). Может из-за прошивки не работает, просто много свитчей и разные прошивки.(свитч на котором точно проблема с прошивкой Firmware Version Build 4.00.018). Вобщем что думаю.. есть ли на DES-3026 функция статического айпи и мака? В вебе не нашол. Например есть DGS-3100 но там она почему-то не работает.. Чтобы при любых раскладах клиенты конектились по статическому, да и поменять на свитче намного быстрее можно чем на каждой клиентской машине...

Я вам прошивку выслал. Укажите пожалуйста версию прошивки DGS-31XX. Перезвоните пожалуйста завтра во второй половине дня в офис по телефону 744-00-99 доб.390.

Firmware Version 1.00.36
Hardware Version 00.01.01

а статические мак и айпи возможно на 3026?

Я вам прошивку выслал. По поводу статических MAC и IP что вы имеете ввиду? Статическая таблица MAC-адресов есть. А ACL нет. Но вы ведь и используете статические записи в таблице IP-MAC-Port Binding.

Я имею ввиду чтобы прописать на свитче "железно" айпи и мак сервера, и даже если в сети появиться кто-то с таким же айпи как у сервера, то все конектились к прописанному. Просто сразу прописывать более 1000 абонентов на свитчах дело не быстрое... а прописать статический айпи и мак на нескольких десятках свичтах за час два вполне реально.

как я понял из этой темы - viewtopic.php?t=48265&highlight=%D0%B2%D0%B8%D1%80%D1%83%D1%81
мне тут не помогут..

Это почему Вы такой вывод сделали? То что вы описываете делается при помощи ACL или комбинации ACL и IMP. ACL на этой серии нет.

вывод из того, что у меня в сети вирус, и обычный айпи мак биндинг не помогает. в теме четко сказано что даже на 3526 проблема пока не решается, а на 30хх тем более.

возможно ли на свитче(30хх), просто прописать IP основного шлюза и соответствующий ему MAC адрес? тоесть статически добавить его в ARP таблицу? в результате какой бы компьютер не присваивал себе IP основного шлюза, всё равно на свитче только одно соответсвие IP и MAC. + не стоило бы трогать каждую клиентскую машину...
Возможно или нет?

ARP таблица работает только с ipif System, а это уже Управляющий VLAN, в котором не должно быть клиентов. Вы можете через "create fdb ..." добавить МАС шлюза на нужном порту, тем самым избежать подмену МАС-а.

_________________
С уважением,
Бигаров Руслан.

мне необходимо на около 40 свитчах 3026 и соответственно на всех портах. как это можно по проще сделать(если не трудно полностью всё правило)? IP 192.168.0.2 MAC 00-07-E9-0B-34-2D.

Та же самая проблема, пока решения нет я так понял, чтобы защитить ШЛЮЗ от злых вирусов которые выдают себя за адрес шлюза.

Поскольку у данной модели нет ни IMP в ACL режиме, ни ACL, а клиенты не хотят устанавливать антивирусные пакеты, то остаётся единственный вариант - это разделение клиентов с помощью функции Traffic Segmentation, так чтобы они видели шлюз и внутренние ресурсы, а на выше стоящих коммутаторов защитить шлюз.

_________________
С уважением,
Бигаров Руслан.

Хорошо, а скажите чем тогда будет полезна функция IP MAC BIND ?

И если не сложно объясните на пальцах как настроить сегментацию траффика ?

В этом случае IMP в режиме ARP не поможет. Вот пример настройки Traffic Segmentation http://www.dlink.ru/technical/files/Tra ... tation.pdf