вопрос по ip mac port binding

[taku]

Всем привет!

помогите разобраться с ip mac port binding

sw Dlink DGS 3120-48PC

Стоит задача жестко привязать некоторые ip адреса к мак адресу, так что бы в случае если кто то случайно или специально задаст их в своих настройках, у владельца данных адресов проблем не было.

для этого на свиче добавил связку ip-mac-port для двух адресов-(ip-mac)

в настройках портов 41 и 40 включил arp & ip inspection

решил протестировать

на 45 порту этого же свича включил так же arp & ip inspection, но арп был заблокирован т.к. его нет в списке привязки mac-ip, добавлять все клиентские устройства это не реально, необходимо только некоторые.

если не включать на 45 порту arp & ip inspection, то ничего не происходит и возникает конфликт ip адреса.

прошу подсказать, что делаю не так ?

или может есть другой способ защиты адресов от подмены ?

заранее спасибо.

[xcme]

добавлять все клиентские устройства это не реально

 

Можно настроить IMPb в режиме DHCP Snooping. Там, где адрес будет выдан по DHCP, связка будет создана автоматически.

 

Но вообще я не рекомендовал бы использовать IMPb без ОЧЕНЬ сильной необходимости. У него много достаточно не очевидных минусов.

 

или может есть другой способ защиты адресов от подмены ?

 

Способы есть, но все зависит от дизайна вашей сети.

Можно использовать vlan-per-customer, можно ACL-ками запретить IP/ARP где не надо.

[Negator]

Привязка IP-MAC-PORT Bindig.

 

Она предназначена для устройств уровня доступа. И включать ее нужно на абонентских портах.

Вполне логично, что если какого либо мака или IP адреса нет в связке - он будет заблокирован.

Ровно для этого эта вещь и создана.

 

Для ваших целей подойдет либо корректная настройка ACL, либо можно попробовать ARP-Spoofing-Prevention от длинка для ваших целей.