можете это подробнее описать. как именно это сделать. или ссылочку на данное решение.
спасибо.

схема на форуме описывалась миллион раз , вот только тут в соседней я писал решение

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

можно все таки ссылочку?
что удалось сделать:
создан список ИП адресов и отдельно список МАК в Оbjects
создан DHCP Server - где в IP Address Pool внесена группа из локальных адресов (1,2,3,50,100)
в этом DHCP Server создано правило в Static Hosts (IP-MAC)
и да, действительно, при подключении клиента с этим мак - ему дается нужный ИП.
но если этот клиент имеет статический ИП (левый) - он конечно подключается нормально, правда ему доступ в интернет закрыт потому что нет трансляции ДНС, но если прописать вручную ДНС - будет интернет, и локалка доступна.
хотелось бы чтобы вредитель не имел доступа в локальную сеть даже больше чем в интернет.

Трафиком из локалки в локалку DFL рулить не может, он через нее и не проходит, а если и проходит -- то через встроенный свитч. Если хочется рулить таким трафиком на DFL, можно, например, вынести серверы или отдельные группы компьютеров в VLAN -- тогда DFL сможет фильтровать трафик между ними. Однако, в серьезной сети может не хватить производительности -- обычно для таких целей используются "L3-свитчи", а DFL -- всё-таки пограничный маршрутизатор/файрволл. Или можно развернуть IPSec в локалке.

т.е. по уму это реализовать с помощью IP-MAC-Port Binding на свитче?
просто странная какая-то работа DHCP - если он выдает адреса врагам. и не понятно тогда мне зачем настройка на DHCP под резервацию диапазона, как-то странно она работает. получается что первым делом обрабатывается статическая таблица, и если в ней нужного не нашлось, DHCP начинает выдавать адреса из заданного диапазона, который может быть равным 1 адресу, но не может быть 0.

Дело в том, что DFL'ки не поддерживают 802.1x. Это при необходимости нужно делать на коммутаторах.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...