Доброго времени.
Нужна помощь в реализации следующей задачи:
Есть порт на des 3200 с него вылетают два влана:
vlan 22 tag
vlan 200 untag
задача:
при первом включении клиента в vlan 22 запомнить его mac и запретить доступ клиентам на этом порту с другим mac адресом (типо: config port_security ports хх lock_address_mode Permanent, но для конкретного vlan'а)
для vlan 200 разрешить любые mac'и на порту.
При первом приближении на ум приходит только

Но в данном варианте необходимо прописывать mac ручками, что не совсем хотелось бы.
За все мысли буду благодарен.

Вам необходимо использовать per vlan impb - этот функционал будет реализован на DES-3200 C1 в ближайшее время.
Пока что только вручную.

спасибо за ответ.
те по состоянию на текущую прошивку только сreate mac_based_vlan mac_address <macaddr> vlan vlanid 22?

Какая у вас схема подключения? Опишите, пожалуйста, более подробно.
Если у вас с тегом прописывается 22й вилан на порту - значит, судя по всему, к порту будет подключен другой L2 коммутатор с поддержкой 802.1Q? Тогда в mac based vlan нет смысла.

доступ des3200 port хх (vlan 22 tag телефония, vlan 200 И-нет)<----последняя миля----->клиент(у клиента разруливается телефония и интернет). задача при первом включении голосового шлюза в vlan 22 зафиксировать его mac и запретить подключение на этом порту "левого" оборудования.

У клиента как vlan разруливаются? Что там за последняя миля? Голосовой шлюз имеет поддержку 802.1q?

последняя миля:
медиаконвертер-оптика-dir100f прошитый в switch
канал на стороне клиента разбирается на dir100f (vlan 22 tag->vlan 22 untag на отдельный порт, vlan 200 untag ->vlan 200 untag на отдельный порт)
т.е. отдельно достаем телефонию и интернет с разных портов.
проблема состоит в запрете замены голосового шлюза клиентом, те в случае наличия постороннего устройства трафик в vlan 22 не отправляется.

mac based vlan тут не поможет.
Узнавайте mac адрес шлюза и пишите acl для 22 vlan на DES-3200.

а проСЧе решения есть?
проверил на практике mac based vlan действительно не помог...