Имеются сервер и клиент.
Клиент подключен к DES-3028 1A1G, прошивка 1.02-B10, port untagged, port_security 1.
На сервере запущен "arping -i vlan123 <IP-сервера>".
С вероятностью 10-12% сервер получает ответы со своим собственным MAC-адресом.
Если клиентский порт исключить из vlan123, ответы прекращаются. Включить - появляются.

Вопросы:
1) это означает, что клиент устроил петлю?
2) почему DES-3028 пропускает ARP-ответы от клиента, хотя MAC-адрес ответчика не совпадает с запомненным через port_security?

UPD. Увеличил port_security на клиентском порту с 1 до 2 мак-адресов,
но по-прежнему виден только один мак - клиентский.
Хотя когда порт клиента включен, на сервер приходят ответы с мак-адресом сервера.

Обновили прошивку до 2.80.B08, включили loopdetect.
Всё осталось по прежнему - пока клиентский порт включен, arping на сервере показывает ответы с MAC-адресом сервера.
В среднем один ответ на серию из 15 запросов.
На клиентском порту при port_security=2 виден только клиентский mac, сообщений о петлях в логе коммутатора нет.

Проблема существует только в том случае, если arping запускается с ключом "-0" (source IP = 0.0.0.0).

Ничего непонятно.

Вы запускаете пинг до сервера с сервера, и удивляетесь, почему у вас в поле src его мак адрес?
При чем здесь тогда клиент и зачем он вообще нужен?

Нет, я пускаю arping с сервера в сеть и удивляюсь, что приходят ответы с его собственным mac-адресом.

Это было бы нормально при петле, но тогда должен был бы (а) сработать loopdetect
и (б) запомниться mac-адрес сервера на клиентском порту из-за port_security.

Требуется ли пояснять, чем отличаются ping и arping?

Пришлите мне на почту конфигурацию устройства, описание топологии - ip адреса, порты подключения, снифы в формате .pcap с сервера и клиента.