создал простой пример свитч 3526:
есть Ethernet профайл (единственный) установка анализируем все биты MAC источника, в нем есть правило если такой то MAC источника то дропнуть пакет. Да пакеты от хоста все вырезаются, не один не проходит . Но его мак помещается в таблицу MAC адресов свича.

Тут вопрос так и должно быть или нет ? просто поидее пакет же не доходит еще до момента комутации он на порту при входе дропается. как же он тогда туда попадает?
ибо при таком подходе можно всеравно переполнить в комутаторе таблицу маков. Как то это леичтся или токо выключать обучение на порту и вбивать токо те маки которые там в порту разрешены?

Посмотри в сторону POrt Security. Огранич число мак-адресов на порту например одним.

я же про это говрю что только так можно через отрубку самообучения и указания статических маков?
я просто прошу обяснить как оно попадает в таблицу маков если ACL работают до комутации, по входу пакета, так сказать на влете, на порт а комутация уже после идет.

MAC-адрес обязательно будет в FDB и после этого уже пакеты будут отбрасываться до коммутации на порт назначения.