Запросы на функционал для версии 7.x по улучшению сетевой безопасности

Что касается ARP, он требует поддержки MacSec и SecureID, а это, к сожалению, подразумевает новое железо/PHY для обоих типов интерфейсов. Либо CGA-основанную замену SEND для ARP и NDP, но индустрия выбрала первый вариант (фактически все производители контроллеров). Что касается VLAN — даже с RADIUS они уязвимы в стандартном состоянии. http://resources.infosecinstitute.com/vlan-hacking/ (не самое полное руководство/выводы, но очень кратко и ясно, наверное).

Zorro: Похоже, вы неправильно поняли мою просьбу по функции. Если использовать DHCP-сервер на Mikrotik, то можно добавить MAC-адрес клиента, который получил аренду, в ARP-таблицу роутера. Если теперь отключить обучение ARP, только клиенты с DHCP смогут общаться через роутер, и ARP-спуфинг становится намного сложнее — именно то, что нужно в корпоративной клиентской сети. Особенность Mikrotik в том, что это работает даже если Mikrotik использует DHCP Relay. Мы уже много лет так делаем на наших коммутаторах Extreme Network. Еще одна функция безопасности ARP называется Gratuitous ARP. Если роутер видит ARP-ответ с его IP-адресом в сети, он рассылает Gratuitous ARP, чтобы клиенты, которые принимают Gratuitous ARP, не использовали данные атакующего.

Что общего у TACACS (Terminal Access Controller Access-Control System) с аутентификацией сетевых устройств? Насколько я знаю, TACACS используется только для аутентификации пользователей, которые хотят получить доступ к маршрутизатору (то есть админов)... это никак не связано с сетевой безопасностью, или я ошибаюсь?

Как это до сих пор не доступно?!!?!?!?!?!