Существует сеть 500 машин(3 VLAN)... оснавная масcа элементов сети это неуправляемые свитчи DES1024, но центральный - это управляемый коммутатор DES 3326SR с заводской прошивкой, т.е. на каждом из его портов висит по 23 машины... последнее время столкнулся с проблемой подмены ip, поэтому хотелось узнать возможно ли на этом коммутаторе настроить блокировку IP-MAС... если да, то подскажите пути реализации

Этот коммутатор не поддерживает функцию IP-MAC-Port Binding. Можно сделать это при помощи IP type ACL, но опять же эта модель не поддерживает назначение ACL на физический порт и кол-во правил ограничено 100. Поэтому в Вашем случае я советую присмотреться к серии DES-38XX.

можно пример реализации

А возможна ли реализация с помощью ARP???

Нет невозможна, так как статическая ARP таблица это не средство обеспечения безопасности. Иными словами если Вы внесли в неё опрделённые связки, ничто не мешает коммутатору внести в динамическую таблицу запись с таким же IP или MAC-адресом.

To Ivantey: Не полностью подобное можно реализовать следующим образом. Одним профилем разрешаете для всего входящего трафика все необходимые MAC-адреса, вторым все необходимые IP, третьим запрещаете все остальные MAC-адреса и четвёртым все остальные IP-адреса.