Доброго времени суток!
На одном порту 3526 находится около 10 пользователей, у одного или нескольких вирус.
Зараженный комп занимается ARP рассылкой (Adress Resolution Protocol (reply)) которая сообщает всем пользователям о том, что зараженный комп имеет ip шлюза.
А шлюз(настоящий) получает с зараженного компа ответы о том, что все ip адреса в сети имеют один и то же MAC зараженной машины.
Вопрос:
Как заблокировать эту левую рассылку
а)просто вырезав этот трафик ?
б)вырезав весь траффик с зараженной машины ?
Спасибо.

Либо запрети этот мак на порту через Access Profile Table, либо включи на порту Ip-mac-port binding и внеси туда все валидные хосты.

Ну это понятно.
А нельзя ли как-нить похитрее только ARP флуд задушить ?

вбей правильную связку мак-ip в static arp.
тогда по-идее достаточно одной записи..

Полагаю, это следует понимать так: "которая сообщает всем пользователям о том, что IP-адресу шлюза соответствует MAC-адрес зараженного компа".

То, что вы описываете - есть классический пример так называемого ARP-spoofing'а, о котором можно почитать например здесь: http://xgu.ru/wiki/ARP-spoofing
Совсем не факт, что это работа вируса. Возможно у вас просто завёлся "крот" Задача атаки - перехват в этой (под)сети всего трафика, идущего к шлюзу и обратно (обычно с целью кражи логинов/паролей).

Надо понимать, что никакие действия на коммутаторе НЕ СМОГУТ повлиять на нормализацию ситуации среди тех девяти (10 - 1 вредитель) несчастных, которые живут на одном порту.

Тогда все 10 перестанут видеть шлюз!!! (патамушта в результате атаки они все работают от того самого МАКа, который вы рекомендуете закрыть)
Кстати Ip-mac-port binding тоже заблокирует все 10 хостов по той же самой причине.

Куда? В коммутатор? Это абсолютно бесполезно.
А вот на тех девятерых "страдальцах" жёсткое задание связки IP шлюза - MAC шлюза - пожалуй единственное "простое" решение.
Что касается коммутатора, то его задача должна заключается в том, чтобы не пропускать "левые" ARP-ответы (чтобы их не видел ни шлюз, ни другие члены той же подсети, находящиеся в других портах). Решение одно - ACL packet content filter.

Именно вирус, т.к. уж очень много "кротов" и "кроты" в компх как правило не шарят =)

Почитал инфу ао ссылке.
В 3526 нету вот этого



Было бы здорово это реализовать на свитче =)



Т.е. фильтрвать ARP рассылку на основании MAC адреса отправителя ?

Это надо реализовывать не на свитче, ибо там это делать совершенно бесполезно (во всяком случае не на Layer2-свитче, коим является DES-3526); делать это надо в операционной системе, работающей на подверженных атаке компьютерах.
Ещё раз повторюсь: всё, что вы вправе требовать от свитча - это запретить прохождение через него "левых" арп-ответов и не более того. Сделать это можно на ACL, через контентную фильтрацию.
Не только. Надо "заглядывать" внутрь пакета и анализировать его содержимое. Можно (на вскидку) сделать это двумя правилами:
первое правило - разрешить всё, что идёт с МАК-адреса шлюза;
второе правило - запретить прохождение пакета, если для него одновременно выполняются 3 условия: во-первых, ethernet-тип пакета = ARP (0x0806), во-вторых, пакет является арп-ответом (код опрерации=2), и в-третьих, IP-адрес отправителя внутри этого арп-ответа не равен IP-адресу шлюза.