Если хорошо подумать то это отличная DOS атака может получится, ну допустим к порту подключено с десятокклиентов через свитч тупой, прописаны все 10 МАС на порту... Берем и отсылаем пакет с левым IP и МАС соседа .... сосед более на в сети добавляя сюда описаные баги с PortSecurity получается совсем не првильное решение. Мало того я знаю примеры софта который может ошибится с IP И послать в сеть пакет с исходным адресом ну например VPN канала, это Vypress Chat или Ил-2 Штурмовик, да и dhcp тоже с адреса 0.0.0.0 ходить может. Странно это как то, По моему насовсем блочить нельзя, это не правильно.

1. IP-MAC Binding по нашей просьбе доработают, добавив туда привязку и к физическому порту. Тем самым, связку порт-IP-MAC можно будет настроить одной командой.
2. По поводу блокировки в IP-MAC Binding адреса - тоже механизм подрегулируем.
Что касается DHCP - нормально работает с IP-MAC Binding - клиент полуает прописанный ему IP и работает далее в сети.

_________________
С уважением, Карагезов Владислав

Отрадно слышать, главное чтоб не испортилась традиционное порт секъюрити, в плане ограничения доступа на втором уровне. Ну в том плане что port-ip-mac binding это будет хорошо, но не стоит забывать что и иные ethernet-протоколы бывают, pppoe например, и кроме ip стоит контролировать и просто маки на порту, как в port security ныне.
Сумбурно несколько, но надеюсь мысль ясна.

мысль ясна, будет просто несколько интсрументов, можно будет выбрать подходящий под задачу. Или совместить.
Но! IP-MAC Binding и Static MAC Address вместе работать не смогут.

_________________
С уважением, Карагезов Владислав

Ок, а как в таком случае предполагается что ip-mac биндинг будет относится к не-IP пакетам вообще?

думаю, будет просто пропускать. уточню и отвечу позже.

_________________
С уважением, Карагезов Владислав

Вадим, вот ответ:
For non-IP packet (ie, L2 packet or IPX packet), those packet will be forwarded by switch. The IP-MAC binding feature is designed for IP protocol.
However, once that PC issue any ARP packet and the IP-MAC doesn't match that specified list, that MAC will be placed in fdb table with "blockbyAddrBind" state, and that MAC will be blocked, including L2, IPX, etc. packet with that MAC.

_________________
С уважением, Карагезов Владислав

Т.е. головная организация ответила, что на этом свитче физически невозможно привязать и МАС и IP к порту одновременно? И этого не будет в новых прошивках никогда потому что никогда, мы правильно поняли?

как-то неправильно интерпретировали.
Привязку IP-MAC-port постараются сделать, т.е. будет расширение IP-MAC binding, xчтобы е 2 таблицы создавать, а одну.

_________________
С уважением, Карагезов Владислав

Это бодрит. Т.е. инструмент будет проверять каждый порт на соответствие двум условиям, айпи и МАСу, и только в этом случае пропускать клиента? Это есть гут.

По опыту, сколько времени это может занять у разработчика? Порядок цифр. Недели, месяцы, полгода, год?

не меньше месяца.

_________________
С уважением, Карагезов Владислав

хотелось бы узнать на каком этапе данная разработка и когда можно будет опробовать новую прошивку?

А воз и ныне там или нет?
А деиствительно, как обстоит дела с новои прошывкои, когда можно будет ее увидет? IP-MAC-PORT binding уж очень нужна.

Спасибо

Ramas

как только будут новости я сообщу.

_________________
С уважением, Карагезов Владислав

сколько соответствий IP-MAC может проверяться коммутатором одновременно на одном порту ?