Доброго времени суток!
Проблема следующая, в сети один из пользователей самовольно изменил ip-адрес. Вычислить на каком порту и какого свича не представляется возможным, т.к. MAC не определяется никакими сканерами.
Можно ли средствами главного свича (DES-3526) заблокировать этот ip, чтобы через него не проходили его пакеты?

Скорее это задача не коммутатора, а роутера или фаервола который стоит после всего железа. МАС кстати можно посмотреть как раз на нем по арпам .

_________________
Байкодром Космодур DIR-655,DES-3526

Что значит "MAC не определяется никакими сканерами"?
Посмотреть все адреса компьютеров можно командой show fdb.

Запретить изменение ip-адреса можно с помощью функции IP-MAC-Port binding

При сканировании адресов программой Netscan у части хостов MAC определяется, у некоторых нет.
Программа LanSpy так и пишет - не удалось определить МАС.

show fdb показывает только МАС, а какому IP он принаджелит - нет.
Функцией IP-MAC binding можно привязать зная и IP и МАС, или я не прав?

Но в том и вопрос, я не знаю МАС нарушителя и откуда он работает!

Именно так.

ping на нарушителя идёт? Если да, то узнать его ip-адрес можно командой

Это с компьютера, с которого пингуете.

Да, пинг идет. В результате выполнения команды arp <ip-адрес> ничего не выдается:

C:\proavg>arp <ip-address>
C:\proavg>

Тогда эту операцию нужно выполнить на маршрутизаторе или компьютере, который находится в одной подсети со злоумышленником.

Надо набирать arp -a <ip-address>

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

На arp -a <ip> отвечает, что запись не найдена запись в таблице ARP

Значит, надо ждать, пока снова нарушитель объявится в сети. После чего пингануть его IP с компа, чтобы добавилась ARP запись в таблицу. Ну а далее командой выше узнать его МАС.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

А с никсового тазика arping не судьба выполнить ?

сопсно, ничего боле и не требуется.

Если нарушитель в сети, то по барабану, с какого тазика выполнять команду. Везде покажет. А вот если его нету, то хоть 10 тазиков

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Эт верно ...
Но в любом случае тазики должны быть в плоской сетке ...

Конечно можно заблокировать трафик с определённого IP при помощи IP type ACL.

С IP - ACL не получилось.
Поправьте, если я что-то не так делаю:
В Access Profile Table добавляю профиль:
ID 4
Type IP
Protocol TCP
Далее в Access rule жму Add заполняю конфигурацию:
Mode Deny
Source IP <ip нарушителя>
Destination IP <ip нарушителя>
Port number 26 - порт с которого уходит на следующий свич

Жму Apply и .... ничего!