Вопрос 1: В какие 4 ACL на порт выливается настройка arp_spoofing_prevention?

Вопрос 2:
И можно ли их заменить на меньшее количество ACL (не контентных), если априори известно, что на порту будет только 1 ип + port security(2 мака по таймауту).

Я предполагаю, что можно разрешить только пакеты с конкретным IP в src поле (SPA). Таким образом любой пакет с несоответствующим маком, отправленный на атакуемый хост, приведет лишь к нарушению связи между атакующим и атакуемым.
Вторым правилом запретить на порту входящее пакеты с маком сервера в src, дабы не нарушить связность между сервером и свитчем (fdb свитча)?

Этих правил будет достаточно? Или я что-то упустил?

Решение: http://www.dlink.ru/ru/faq/62/252.html


Если какой-нибудь придурок поставит себе MAC сервера, свич его полюбому изучит и связи не будет у всех клиентов свича.
Выход - статическая запись FDB с MAC-адресом сервера на аплинке свича (будет работать только в случае, если не используете кольца (STP) на аплинках).

1. на 1228МЕ нету контент фильтров, но то что там написано реализуется и без контент фильтров
2. там почему-то ограничились только арп протоколом и остается возможность рассылать ip пакеты не от своего имени. (имеет смысл для удп, тсп малополезно)

Значит в сухом остатке имеем
1. разрешено конкретное IP в src поле (SPA)
2. статическая запись FDB с MAC-адресом сервера на аплинке свича
3. управления свитча в управляющем влане

Ничего не забыл? Остается еще возможность испортить жизнь соседу по свитчу поставив его мак, но это уже неизбежное зло получается.