Здравствуйте
Свичи все DES3526
В процесе выяснения некой проблемы нашли на свиче такие логи
7305 2008/04/09 21:41:31 Possible spoofing attack from 00-17-9A-04-F4-85 port 25
7304 2008/04/09 21:41:31 Possible spoofing attack from 00-17-9A-04-F4-85 port 25

При этом 00-17-9A-04-F4-85-порт того же свича, а 25 порт - входящий.
На предыдущем свиче (откуда приходит линк на этот) ничего необычного в это время в логах не было

Что это такое было на свиче?

Подмена ИП свича пользователями или наличие кольца.
Версия прошивки?

Firmware Version 5.01-B18

под подменой вы подразумеваете, что клиент, который находится в 25 порту с какимто другим маком (к примеру 00-11-22-33-44-55) установил себе айпи свича? А что ж тогда спуфинг видится не от клиентского мака а от своего?

Скорее всего кто-то поставил себе из клиентов ИП свича... А почему так свич себя ведёт, пока сказать не могу... Буду в понедельник на работе - потестю, проверю.
Проверьте также на наличие петли...

Вирус в сети. 100%.

Описывалось и на наге, и на хабе, и по-моему тут на форуме. Если не изменяет память, в конце 2007-начале 2008 года.

что именно из железа подключено на 25 порт? на нём пользователи есть?

петель в сети нет
terrible на 25 порту только еще один DES3526
chajnik а что за вирус? какие его свойства и особенности?

Possible spoofing attack from 00-17-9A-04-F4-85 port 25
При наличии в логе МАКа самого свича - петля.
При наличчи левого МАКа - подмена. Установил опытным путём =)