Много раз обсуждалось в форуме но повторюсь. Режим strict позволяет отбрасывать после анализа каждый первый новый ARP пакет при включённом IMP на порту, что как раз и позволяет избавиться от ARP Spoofing-а. В режиме loose пакет анлизируется но пропускается в сеть. Max Entry никак не связано Forward DHCP Packet. Первая опция позволяет ограничивать число MAC-адресов на порту которые могут получить IP-адрес. Вторая же позволяет при настройке в disable блокировать при использовании DHCP Relay вместе с DHCP Snooping-ом DHCP Broadcast пакеты в клиентских VLAN-ах. Т.е. предотвращает размножение DHCP Relay пакетов в топологии кольцо или цепочка устройсвт уровня доступа.

Хорошо, если у меня стоит Forward DHCP Packet Enabled , а DHCP Snoop Max Entry 5 , а на порту вилит 10-ть клиентов, то по ДХЦП смогут получать только 5-ть клиентов? , или ето только тогда когда IP-MAC Binding DHCP Snooping Settings enable? Вопрос второй. При арп спуфинге у жертвы меняэться мак роутера на мак атакующего, как ето предотвратить? IMP strict не помагает.

Эти опции действуют только при включённом DHCP Snooping. И они не связаны. Т.е. если Max Entry = 5 то независимо не от чего 5 только MAC-ов могут получить IP. По поводу ARP Spoofing-а по-моему Вы не очень правы. Штатно это перебор связок IP-MAC. А то что Вы говорите скорее всего это смена MAC-адреса атакующего на MAC-адрес жертвы.

Ета атака называется men-in the-midle. Атакующий посылает от своего ір и мака ложный арп ответ в котором он говорит что ір роутера под его маком, а роутеру говорит что ір клиента под его маком, в итоге весь трафик валит через атакующего , короче если смотреть в езериале , то сендер мак остаэться реальный мак атакующего , а сендер ір адрес подставляеться роутера, могу выслать скриншот езериала.

Так всё-таки наоборот же что атакующий меняет свой MAC-адрес а не жертва.

А в таком случает IMB заблочит этот пакет?

Заблочит если режим ACL и strict. А также зависит на каких портах она включена.

Да нет же , атакующий не меняет свой мак, мак и ір адрес отаеться его , он меняет в арп ответе только сендер ір. Вот высилаю скриншот, 172.16.0.20 - атакующий , 172.16.0.32 - жертва, 172.16.15.253 - роутер.

Попробуйте выполнить вот эти рекомендации http://www.dlink.ru/technical/faq_hub_switch_115.php

А если ARP и scrict ?

От Man-in-the-Middle не поможет.

Кароче, перепробовал я всё , вывод такой что стандартными методами от мен ин зе мидл не спастись, тоисть при включеной привязке IP-MAC-Port_ACL оно хацкера лочит на порту, и он проснифить ничего не может , но первый пакет проходит к жертве и у неё меняется мак роутера и пропадает с роутером коннект. Боротся с етим можна двумя способами , 1. Статичиская арп таблица у клиентов
2. Создавать правило , которое сравнивало бы соурс IP-MAC и сендер IP-MAC протокола арп, что в моем случае очень ресурсозатратно.
Если появиться какаято новая фичя в новой прошивке против етого, пожалуйста отпишите, ато очень сложно заставить клиента прописать у себя статическую арп таблицу.

ОК. Если будет информация сообщу.

Такая же проблема c DES 3550 - выставили ip mac binding, некоторые порты нормально реагируют, некоторые нет.
show address_binding ip_mac показывает что запись на ip существует, но при этом он свободно меняет айпи. Его не блочит и он легко проходит в сеть.
В настройках уже все просмотрели - все ОК. Может дело в прошивке? У нас 5.01-B09. Если так то не могли бы выслать прошивки?
Также существует проблема - выключаешь порт - показывает что link up.
P.S Также еще интересуют прошивки к DES 3026, 3526.

Я Вам прошивки выслал.