Понял спасибо, сделаю отпишусь, поместить этот профиль выше ниже нету разницы получаеться ?

Разницы нет, главное его поместить до профиля, который отбрасывает весь трафик.

_________________
С уважением,
Бигаров Руслан.

__

Реально не хватает правил для 3028.
Режем нетбиос.
Пишем ACL связку разрешить IP на таком то порту.
Потом запретить всё остальное.
Потом arp_spoofing_prevention уже нету свободных, вот.
А ещё dhcp screening хочу.

Если бы IPMB можно было включать без контроля MAC то может бы убрал бы ACL IP Control.

Помогите правильно разработать стратегию свитча доступа.
Конкретная задача для 3028 и 3526 а так же 1210-28

Я уже писал но повторюсь для ясности, как это всё умолотить в свитч в частности в 3028.

Хочу.

1.Надёжно без привязки к мак адресам клиента зафиксировать на порту IP адрес абонента.
2. Чтобы абонент-вирус не мог подставить себе IP или MAC шлюза и ешё кучки сервисов в сети.
3. Чтобы абонент мог получить с DHCP свой айпи адрес.
4. Защитится от поддельных DHCP.
5. Урезать Netbios.

Ибо замучался, то правил не хватает то они не так расположены, то arp левый пошёл от клиента и.т.д. и.т.п.

............................

дхцп снупинг вкупе с filter dhcp_server и acl режущими 135-139,445 порты

Это только половина задачи.
Как в остальном поможет снупинг и как его зовут у длинка ?