Как заблокировать использование определенного IP на 3324? Что-то типа create arpentry ${IP} 00-00-00-00-00-00 не помогает, ругается на неправильный мак.

И второй вопрос, на 3526 насколько я понимаю такого сделать нельзя?

Давайте сначала и поподробнее - если вам нужна привязка IP-MAC-Port, то это как раз и есть только на DES-3526. А create arpentry - это команда позволяющая просто создать статическую запись в ARP-таблице и с настройками безопасности это никак не связано.

Есть подсеть, в которой используется только половина адресов. Мне нужно все использующиеся IP привязать к MAC (это я сделал командой create arpentry ip mac), а все ненужные - заблокировать, чтобы никто не смог их себе поставить. Как заблокировать ненужные ip?

Кстати, почему нельзя привязать IP-MAC-Port в 3324? Разве так нельзя:

create arpentry IP MAC
create fdb VLAN MAC PORT

Динамические записи в таблице ARP никто же не отменял. Поэтому у Вас "запрещённые" адреса могут туда попадать. Вы можете попробовать объединить эти адреса (запрещённые для вашей сети) по маске и назначить на порты ACL, если у Вас DGS-3324SR как я понял.

Да, у меня dgs-3324sr. А моя привязка IP-MAC-Port правильная?

Нет, поскольку средством обеспечения безопасности не является. Как я уже сказал Вам нужно либо использовать ACL на определённых портах на DGS-3324SR, либо IP-MAC-Port Binding на DES-3526 (если он у Вас используется в качестве уровня доступа сети)

То есть при моей привязке кто-то может с другим маком и с другого порта присвоить себе чужой адрес? Но по логике же все правильно получается, определенный ip соответсвует определенному маку (статическая запись в arpentry), а определенный мак - определенному порту (запись в fdb)

Я же пытаюсь объяснить, что никто не мешает коммутатору динамически добавить в ту же таблицу то же MAC, но уже с другим IP.

В таблице могут быть дублирующиеся маки??

Просто есть как бы две части таблицы - статическая и динамическая. В одной Ваши записи, а в другую коммутатор может сам добавлять

Понятно. Хотелось бы конечно аналог IP-MAC-Port на 3526.

А можно пример, как это реализовать с помощью ACL? К примеру привязать 192.168.0.10 с маком AA-AA-AA-AA-AA-AA к порту 5 так, чтобы никто с таким маком/ip не смог зайти на другой порт и на 5-м принималась только эта комбинация.

Данную ситуацию можно вопроизвести только создав соответствующие ACL (IP тип) на портах на одном разрещающее под определённый IP и запрещающее под всё остальное, на остальных запретить этот IP. А для контроля по MAC-адресу использовать Port Security совместно со Static MAC Table