Я думал что address_binding в режиме dhcp_snoop это и есть ip source guard. Вчера провел эксперимент, результаты показали что я ошибался.
Дано: свитч
DES-3200-26 Fast Ethernet Switch
Boot PROM Version : Build 1.00.B004
Firmware Version : Build 1.81.B005

Получаю по дхцп адрес, связка создается, генерирую на компе с левым src ip пакет, отправляю в сеть, и он спокойно проходит через коммутатор. Скажите я правильно понял что этот механизм служит для защиты от подмены мака но не помогает от спуфинга ip или я чего не так настроил?

mode arp - в этом загвоздка
в этом режиме функционал IMPB реагирует на arp пакет источника, если будет arp пакет с невалидным mac или ip, то мак заблочится до первого валидного arp пакета.
вам нужен (или не нужен?) mode acl (или может он по другому зовется на этой модели)

нам хватает режима arp
т.к. если обычный хомячек попытается подменить мак или айпи, его не пропустит т.к. винда сгенерирует arp запрос

у ACL режима минусы:
1. занимается профиль ACL
2. может сломать ваши другие ACL

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

Попробуйте сгенерить пакет src mac клиента, src ip - любой, dst mac/ip шлюза в какой-нить генерилке пакетов, коммутатор его пропустит

Необходимо дропать пакеты с src ip != ip которые в связке dhcp_snoop

так я же и говорю, что пропустит потому-что у вас режим стоит arp
вы же генерируете ip пакет, а не arp

используйте режим acl (в веб интерфейсе на IMPB это называется ip inspection)

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД