я так и понял, что IP-MAC Binding в режиме ARP с ARP пакетами работает и на счет пропуска первого ARP-запроса вкурсе, и что подобные правила в ACL полностью все режут, но пытался как можно более просто и понятно обьяснить.

тут у меня ещё несколько вопросов возникло.

1. что такое ARP-spoofing, это типа ARP флуд?
2. И стало быть настроив привязку IP-MAC в режиме ARP я не смогу подружить эти правила с правилом созданным в ACL для доступа ВСЕХ к определенному IP, а если настроить их в режиме ACL, то несомгу использовать ARP-spoofing(правда пока точно не знаю что это такое ) ?
3. в IP-MAC Binding Port есть Trap/Log это вобще для чего?

1. ARP-spoofing это генерация большого количества ARP-запросов в секунду. Эти самым можно положить по управлению какое-либо устройство.
2. Как раз правила подружить можно. Просто в итоге из всех кому можно ходить на сервер будут ходить только те, кому разрешено связками IP-MAC-Port Binding. В режиме ACL нужно располагать стандартные правила ACL перед связками IP-MAC-Port Binding, чтобы стандаратные правила тоже действовали. В Вашем случае лучше использовать ARP режим.
3. Это для того, чтобы блокировка записей в виде события отсылалась на syslog или SNMP станцию управления.

что то не выходит у меня!
располагал стандартные правила ACL и после связак IP-MAC-Port Binding и перед.

уточним задачу:

des 3526 порты 25 и 26 используются как магистральные.
На 1 порту висит сервер с IP 192.168.0.1
к 25 и 26 пору подключены Неуправляемые коммутаторы к которым подключено и пользователи и "чужие" сети
то есть, упращенно:
на 25 порту сидят свой 192.168.0.2 и чужой, скажем 192.168.0.100
на 26 порту сидят свой 192.168.0.4 и чужой, скажем 192.168.0.200
Нужно:
что бы свои 192.168.0.2 и 192.168.0.4 видели друг друга и сервер.
А чужие 192.168.0.100 и 192.168.0.200 НЕ видели друг друга, НО видели сервер.

такую схему возможно реализовать на des 3526?

Прошу прощени. кажется все работает

видать во время теста, комп который я пинговал ребутнули