первый абзац — обычная привязка mac'а к ip, влёт делается на любом dhcp сервере.
второй и остальные абзацы обьясняется шефу коротко: на тупых неуправляемых свичах класса «длинк за 50 баксов» никакой безопасности не будет, потому как безопасность стоит денег — это нормальные управляемые коммутаторы с поддержкой acl, vlan, умеющие настраивать свои порты в зависимости от а) пришедшего mac'а (тупой старый сетевой принтер, или коробочка на дверях от СКУД)
и б) настраивать свой коммутаторский порт в соответствии с:
1. настройкой рабочих станций на парольную аутентификацию в сети, то есть, после ввода валидного доменного логина/пароля порт коммутатора настраивается на нужный влан (бухгалтерия, админы, сапорт, тестовый влан), и айпишник из нужной подсети.
3. логирование подключений к портам коммутаторов на выделенный сервер логов с отправкой уведомлений на уровне «port fa0/1/2 on switch2.campus3.company.local is up», зная где стоит свич и какая розетка на этот порт скоммутирована можно послать охранника в «кабинет 123, 3 этаж, корпус 3» посмотреть, кто там развлекается.
