Получается строки

config address_binding ip_mac ports Х state enable strict
config address_binding ip_mac ports Х state enable

создают одни и те же правила, т.к. show address_binding ports показывает одно и тоже в обоих случаях, и следовательно strict был включен в момент атаки.

Похоже без ручного создания листов доступа не обойтись

спасибо за ответ но мы друг друга немного не поняли опять)

1) Меня больше беспокоит не переполнение fdb а именно внесение туда неверных связок мак-порт, чтобы кто то не мог банально заставить думать коммутатор что мак пользовательсго шлюза на каком-то не том порту.

2) Судя из ответа на пункт 3 значит что если отключить learning то снупинг просто не сможет работать по той причине что коммутатор не примет пакеты (какие бы они не были) если маков на порту не будет. Т.е. DHCP-снупинг сам по себе не может вносить изменения в fdb коммутатора, так ведь?

из этого у нас вырисовывается только один типа атак от которых нельзя автоматически защититься - обман fdb коммутатора. Только созданием вручную профилей ACL либо внесением статических записей в fdb коммутатора. Других же способов этого избежать нет?

PS понятно что это можно оптимизировать скриптами, и автоматикой. но по сути при смене маршрутизатора придется редактировать либо fdb многих коммутаторов либо их ACL

Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб. 390.