Элтекс

Добрый день
Есть коммутаторы MES2124MB цель блокировать пользователей статически прописайшие IP адресса.
IP адресса выдаються по DHCP
Часть конфига

MES2124MB

ip dhcp snooping ====== включен глобально
ip dhcp snooping vlan 1 ====== включен для изучения на 1 vlan (клиенты в 1 влане)
ip dhcp snooping vlan 41 ====== включен для изучения на 41 vlan (клиенты в 41 влане)

ip source-guard ======== включен глобально

Настройка порта

interface gigabitethernet 1/0/2
ip source-guard
loopback-detection enable
switchport access vlan 41
bridge multicast unregistered filtering
storm-control broadcast enable
spanning-tree disable
switchport access multicast-tv vlan 3003

На тестовой стойке при подключении одного хоста к порту работает
#sh ip source-guard status
IP Source Guard: Enabled


Interface Filter Status IP address MAC address VLAN Type
--------- ------ -------- --------------- ----------------- ---- ------
gi1/0/1 IP active 10.10.23.125 14:cc:20:0e:57:3d 41 DHCP
gi1/0/2 IP active Deny All
gi1/0/3 IP active Deny All
gi1/0/5 IP active Deny All

Вопрос
- правильно ли настроен ip source-guard для моих целей (может что то нужно еще)
- есть ли ограничение по количеству мак адрессов на порту
- нужно ли включать ip source-guard на аплинк порту
Почему возник данный вопрос. При установки коммутатора в действующую сеть функцию ip source-guard на портах пришлось выключить так как абоненты перестали работать

- правильно ли настроен ip source-guard для моих целей (может что то нужно еще)
Правильно. Вот только не заметил на аплинк порту команду ip dhcp snooping trust
- есть ли ограничение по количеству мак адрессов на порту
port security mode max-addresses
port security max 0 - 1024 (указать свое значение)
- нужно ли включать ip source-guard на аплинк порту
Нет

Почему возник данный вопрос. При установки коммутатора в действующую сеть функцию ip source-guard на портах пришлось выключить так как абоненты перестали работать

Что понимается под выражением: "абоненты перестали работать?"
Перестали получать адреса или абонентский трафик не ходил?
ip source guard работает на основе таблицы dhcp snooping. Его функцией является защита от подмены ip адреса абонентом. На саму выдачу адреса он никак не влияет. Возможно как раз не заработало из-за отсутствия настроек из комментария №1? Если нет, то нужен более полный конфиг и детали.

ip dhcp snooping trust - настроен

interface gigabitethernet 1/0/4
ip dhcp snooping trust
loopback-detection enable
switchport mode trunk
switchport trunk allowed vlan add 41,100,3003
spanning-tree disable

Абоненты айпи получают. Я так понимаю блокируеться трафик.

А в таблице dhcp snooping есть запись для абонента, у которого блокируется трафик? Если есть, то трафик не должен блокироваться.

Не смотрел. Проверю отпишусь