Ситуация простая юзер имеющий адрес 10.1.0.101, выставил себе адрес сервера по ошибке 10.2.0.10. В виду того, что в свитче не предусмотрено привязки MAC к IP, как мне решить проблему? Сеть состоит из семи 3226S, используются фильтры по IP портам, MAC адреса прописаны либо статически либо через порт секурити.

Сам пока придумал только одно решение, запретить с адреса 10.2.0.10 ходить всем, а перед эти правилом разрешить ходить с МАС адресом серверной карты. Но с сервера тоже хотелось бы позакрывать некоторые порты. в итоге получается что мне нужно кучу строк в AСL добавить.

1. с 10.2.0.10 по IP закрываем не желательные порты
2. с 10.2.0.10 по UDP закрываем не желательные порты
3. с МАС сервера разрешаем куда угодно (надеясь Port security )
4. с 10.2.0.10 запрещаем все

в итоге получается 4 правила,а в свитче их всего 10 можно создать ...


Есть какой либо иной вариант? Просто как то криво получается совсем.

Вы не могли более подробно описать ситуацию. а лучше позвонить в офис по телефону 744-00-99 доб 390

Давайте так
Имеется сеть на 200 компьютеров, полностью построенная на 7ми DES-3226S. Имеется список очень критичеых серверов с IP и МАС адресами

10.0.0.1 aa-aa-aa-aa-aa-aa
10.0.0.2 bb-bb-bb-bb-bb-bb
10.0.0.3 cc-cc-cc-cc-cc-cc
10.0.0.4 dd-dd-dd-dd-dd-dd
10.0.0.5 ee-ee-ee-ee-ee-ee
10.0.0.6 ff-ff-ff-ff-ff-ff

Надо не дать возможность пользователям сети отправлять пакеты с IP адресами из этого списка, если не ему соответсвует указанный MAC. При условии, что пользователь уже не может сменить МАС, что обеспечивается встроеными в 3226S средствами. Но он может послать пакет с адреса 10.0.0.1 и своим МАС адресом, например 11-11-11-11-11-11. Вот как это запретить я м спрашиваю Помогите пожалуйста.

Ну вы в первом посте идеологию изложили в целом верно, в принципе в рамках поставленной задачи всё у вас должно получиться. Только вы ошибаетесь в ограничениях профилей - на 3226S можно создать до 10 профилей максимум с 50 правилами в них. В целом для ваших задач этого должно хватить, особенно если ip-адреса "защищаемые" идут как-нибудь подряд и их можно не описывать по одному, а агрегировать по маске.

Другой вопрос, что это не спасёт от ARP-анонса адреса сервера со стороны пользователя - для этого нужны packet_flow фильтры на коммутаторе, коих в 3226S нет.

Именно про 10 профилей я и имел ввиду
1. Хочется фильтровать исходяшие МАС , 1 забаненных пользователей, 2 все FF иди все 00.
2. анализтровать типы Ethernet пропускать только ARP и IP
3. выставлять приоритеты для трафика по tcp
4. выставлять приоритеты для трафика по udp
5. Блокировать нежелательный трафик по tcp
6. Блокировать не желательный трафик по udp
7. Работа с ICMP, блокировка броадкастовых пингов и тд

даже эти правила уже сами по мебе готовы забить 10 профилей, а ежели туда еже добавить 4 дополнительных.

А так было бы здорово просто сказать
с адреса 10.0.0.1 с МАС aa:aa:aa:aa:aa:aa разрешить ....

Мало, того мое решение не позволяет контролировать как либо трафик от защищаемых серверов, да и идея компроментирует себя т.к. по моей схеме 10.0.0.1 спокойно может поставить себе МАС 10.0.0.2 и наоборот. Т.к. весть трафик от них разрешается из-за того что у них МАС такой ...

В общем очень хотелось бы иметь возможность в одном правиле описывать как МАС так и IP. Функционально то все работает, да и польза очевидна.

А вообще уже бродят мысли просто к линуху прикрутить софт который бы автоматически забивал МАС адреса "нарушителей спокойствия" в ALC свитча.