как я понимаю эта функция работает в так называемом ACL - режиме . То есть если в исходящем пакете в качестве source-ip указан неликвидный адрес - то свич начинает резать все входящие пакеты. Но тогда какова польза от этой функции - если исходящие пакеты с неликвидным source-ip попадают в сеть и приводят к конфликту адресов ?

Эта функция работает на этом коммутаторе только в ARP режиме. Вы прописываете связки на портах, включаете функцию и пропускаются только ликвидные связки с порта. Но в случае ARP режима возможен пропуск первого ARP пакета.

окей - но почему тогда :
ex: если в коммутатор 3026 (прошивка Build 3.00.036) включены 2 машины (хост1 и хост2) - на порту , куда включен хост1 включена данная функция, хост1 меняет ip-адрес на адрес хоста2 - в результате чего у хоста2 получается конфликт ip адресов и никуда не идут пакеты кроме как на localhost. Как же получается конфликт IP если проходит только первый ARP-кадр ? - почему пока хост1 не поменяет свой ip-адрес обратно - хост2 остается неработоспособным (или может надо подождать какое-то время). Тестировалось на 5-ти коммутаторах. Притом хост1 - заносится в таблицу заблоченных и пока не переткнешь интерфейс тоже неработает (даже с ликвидным адресом). Вопрос стоит остро - так как неясно что использовать в качестве абонентского оборудования-вроде хватает функционала 3026 - но на 3526 нет вышеуказанных проблем.

При смене IP-адреса это абсолютно нормальное поведение этой серии. Ведь GARP пакеты тоже проходят и это как раз и даёт конфликт IP-адресов. Так что в Вашем случае лучше остановиться на серии DES-35XX.

А что если включать Port Security на порту клиента и разрешать только один мак-адрес?

Возможно.

Будет время проэксперементирую....

фигню сморозил. Проблема не в смене мака, а в смене IP.
Port Security блокирует только маки...

Так и при использовании IP-MAC-Port Binding блокируется MAC.