Добрый день. Проблема в следующем.
Необходимо ограничить доступ к локальной сети устройствам которые могут самопроизвольно подключиться к ней. Возникла токая необходимость из за того что нет возможности физически ограничить достпуп к сети. Прошу подсказать варианты как можно это осуществить.
Локальная сеть настроена через DHCP c привязкой каждого устройства статично по мак адресу.

Никак. DFL не управляет и не контролирует трафик в локальной сети на интерфейсе LAN. Он может управлять только трафиком, который проходит ЧЕРЕЗ DFL.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

можно конечно например сделать связку IP MAC , и левым не выдавать адреса .
поищите по форуму - темы проскакивали .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

YuriAM вот именно вы правы, я не полностью описал ситуацию.
В локалки существуют несколько сетей таких как 192.168.10.х, 192.168.11.х и так далее пять штук.
я понимаю что ограничить доступ к сети устройству например который прописал статично адрес как пример 192.168.10.10 (так как по совету Vladimir22 я отключу выдачу адреса., также я понимаю что от снифера меня никакие настройки не спасут) не получиться, но существует ли возможность ограничить доступ тогда к другим сетям таким как 192.168.11.х и т.д. Это сильно затруднит злоумышленникам отсканировать всю сеть целиком сразу.

Также такое ограничение должно сработать если есть тунели точка точка. что бы избежать попадания в другие сети других DFL на том конце тунелей.

L2 и L3 вас спасет . можете прописать на портах разрешённые маки . и ни кто кроме них не подключится в сеть.

да и не совсем понятно как у вас на одном DFL организовано столько сетей . или кто роутит эти сети ? рисуйте схему
да и крутится если вы, в одном эзернет сегменте - одни провода .
средствами DFL, да и любого другого не управляемого коммутатора не сделать .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Извиняюсь, могли бы ткнуть в мануальчик где описано, как "левым" макам не выдавать адреса? Или фразу для поиска, найти ничего не могу?
У мну на DFL-860E реализовано так: DHCP по IP+MAC, и таблица ARP с режимом STATIC на необходимые адреса, недостаток в том, что клиенты не прописанные по маку все равно получают адрес, была идея в статик хост зарезервировать выдуманные маки, но как-то некорректно это в /24 сети, наверняка есть более изящное решение.
Спасибо.

_________________
DFL-260E | DFL-860E x2

могу еще предложить вариант .
вы же знаете сколько компов в сети .
делаете связку Ip +MAC , и количество компов = количеству адресов в DHCP= количеству связок .

тем самым новое подключение ни чего не получит , а прописал руками получит глюки ....
больше идей пока нет .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Схемку рисуйте. И подробную. Не заставляйте нас тянуть из вас информацию, если вам нужна помощь.

И к схемке подробное описание. Не стесняйтесь.

Да, это труд. Но это проще, чем учиться и до всего доходить самостоятельно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

https://ru.wikipedia.org/wiki/IEEE_802.1X - это как бы по взрослому

только нужен коммутатор с 802.1х и RADIUS-сервер.
А DFL будет тупо для интернета.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Но если, допустим, DHCP = 192.18.11.2-20, т.е. 19 = число компов в сети = число связок.
И тогда непрошенный гость, выставляя себе 192.18.11.21 все равно подключится к сети. Не так ли ?

Сделал наощупь. Правильно ?
А что это значит ? Опишите пожалуйста подробнее

В общем-то да. Только взрослость будет заключаться в том, что при завтрашнем появлении потребности не всех пускать в инет например - все уже будет.
Ну и в случае гостевых вариантов - не давить на портах коммутаторов совсем, а выкидывть в отдельный vlan, который например сможет разруливаться DFL на предмет допуска на часть сайтов или к части ресурсов.
И далее по цепочке - естественный переход к NAP например