Свитч 3028. Аплинк 26 порт, пользователи 1-24 порт. Адрес биндинг включен на 1-24 порты. Картина следующая:
пользователь на порту 1 назначает себе мак шлюза, свитч блочит этот мак, после этого свич больше не видит основного шлюза. Не смотря на то, что биндинг на 26 порту не включен, и он должен нормлаьно видеть там мак шлюза. На свиче это выглядит так, что шлюз не пингается, в arp таблице мак не появляется, в fdb таблице мак светится на 1 порту как заблокированый биндингом.

На мой взгляд на лицо некорректная работа фичи. Прошивка 1.02-B10.
Прокомментируйте пожалуйста.

Попробуйте пожалуйста прошивку которую я вам выслал.

Спасибо. Попробуем.

Проблема больше не проявлялась. Будем тестировать дальше.
Спасибо.

Поторопился я с выводами. Решили провести лабораторное исследование, и оно показало, что проблема всё-еще присутствует.
Итак, firmware: Build 1.06-B06.
Настроено это всё следующим образом:

Спуфер в 23 порту подменяет мак шлюза, его блокирует:

Связь со шлюза со свитчем теряется. Шлюз подключен в 26 порт, на котором address binding не включен.

Так вынесите управление в отдельный VLAN. Правда, это решит только проблему потери управления железкой

Согласен, дело полезное. В плане это есть Кстати, не факт, что это поможет. address_binding все равно нельзя указать в каком вилане работать, у него port based механизм, и этот механизм работает не правильно, что я указал в предыдущем посте.

Вот это что за MAC-адрес: 00-1D-72-11-AE-CF?

А что вы видите необычного в этом маке?
Вот, например: http://www.coffer.com/mac_find/?string= ... 2-11-AE-CF
Конкретно этот мак принадлежит моему ноутбуку, в котором стоит сетвая карта: Broadcom NetLink(TM) GigabitEthernet.

Ничего необычного. Это MAC злоумышленника в схеме?

В нашем эксперименте это мак основного шлюза, который злоумышленник так же назначил своему сетевому адаптеру.

Перезвоните пожалуйста в офис по телефону 744-00-99 доб.390.

Что-то никто трубку не берет, завтра вам попробую дозвониться.

ОК.

Для интересующихся. Поговорили с Иваном, выяснили, что по другому binding на этом свитче работать не умеет. Выход - использовать acl и фильтровать мак и ip.