>Доброе время суток,
>Необходимо организовать ограничение доступа клиентам за пределы сети. Сеть примерно на 2к
>пользователей. Раньше делал привязку по арпам, соответственно если доступ зыкрываю, то
>прописываю левый мак. Я был уверен до недавних пор что это
>работает. Оказывается не всё так хорошё, как хотелось бы... складывается впечетленее,
>что он кого-то выборочно пускает, а кого-то нет.
>
>IOS (tm) C3550 Software (C3550-I5Q3L2-M), Version 12.1(12c)EA1, RELEASE SOFTWARE
А с чего сложилось впечатление ??? Мониторинг что показывает , если вы фильтруете трафик по мак адресу поток из 2000 мак адресов на приходящем порту на главный каталист , то как он будет определять что ваш забитый неправильный мак адресс соответствует определённому мак адресу отправителя, мак адресс плюс айпи адресс определит фильтрации и то если клиент может менять и айпи и мак адресс как вы его отфильтруете? Например хожу я по адресу 1.1.1.1 с мак адресом x.x.x.x.x.x , чел меняет свой  айпи на мой и адресс на мой , всё готово , тут привязку делать надо на каждый порт устройства , то есть если у вас сеть из каталистов делаете настройку на каждый порт , что только с таким мак адресом можно работать с данным портом , а потом на  главном каталисте прописываете только те мак адреса которые должны проходить, а вот сколько можно прописать адресов  это следующий вопрос , во всех каталистах по разному, и то здесь будут свои ухищрения как выйти с порта соседа , типа переткнуть кабель в его порт и поменять мак адресс своего интерфейса ...