Я сегодня решил проверить эту функцию (ARP Spoofing Prevention) на свитче DGS3200-10 с прошивкой 1.50.B018.

В порту 9 провайдер со своим шлюзом и другие его клиенты. У меня есть ACL, по которым разрешен проход броадкастовых ARP, где спрашивают MAC-dest определенных IP адресов (моих устройств). Остальные броадкастовые ARP режутся. В итоге мои устройства ничего лишнего не получают. Так было до включения ARP Spoofing Prevention.

А вот после включения решил посмотреть и отзеркалировал один из портов моих устройств и увидел, что, оказывается, функция срабатывает до ACL (кстати, отдельных правил ACL в конфиге не появилось), но после этого по списку ACL не пробегается. В итоге обычные броадкасты стали поступать на все порты моих устройств как будто и нет запрещающего броадкаст правила в списке ACL. Конечно, с одной стороны функция, наверное, полезная, а с другой.... Мне проще написать самостоятельно ACL, где жестко укажу связку IP-MAC шлюза провайдера для ARP запросов/ответов.

Но к саппорту вопрос - корректно ли работает функция ARP Spoofing Prevention, если броадкастовые ARP не режутся при её включении в соответствии с правилами ACL?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да, так и должно отрабатывать.

ОК, будем знать. Спасибо.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)