Надоели абоненты с вирусней, которые все время пытаются разослать АРП ответы с указанием что шлюз на самом деле они. Вот пример нормального пакета(с правильным содержанием)

15:00:22.617380 00:a0:d1:6a:b7:80 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: arp who-has 10.160.128.1 (00:15:17:72:e9:7d) tell 10.160.129.235

А Вот пример поддельного(примерный вид)

15:00:22.617380 00:0A:E4:43:30:D1 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: arp who-has 10.160.128.1 (00:0A:E4:43:30:D1) tell 10.160.129.235

Может ли 3526 фильтровать такие пакеты, если да, то как?

Я думаю стоит посмотреть вот на этот пример http://www.dlink.ru/technical/faq_hub_switch_115.php Я думаю многое станет понятно.

а функция arp_spoofing_prevention не работает еще?

Пока нет по нашим сведениям.

Это фильтрует ответ с юзерских портов, при условии что шлюз - это а.б.в.5. Т.е. даже если юзер и отвечает, что "а.б.в.5 это я", то как раз это и режется.

create access_profile packet_content_mask offset_16-31 0xffffffff 0xffffffff 0xffff0000 0x0 offset_32-47 0x000000ff 0x0 0x0 0x0 profile_id 10
config access_profile profile_id 10 add access_id 1 packet_content_mask offset_16-31 0x08060001 0x08000604 0x00020000 0x0 offset_32-47 0x00000005 0x0 0x0 0x0 port 1-24 deny

Столкнулись недавно с сабжевой проблемой..

Спасибо cmhungry за ацл-ку, частично она в нашей ситуации помогла, но всё-таки висит в воздухе вопрос: а в версии прошивки 5.01В30 арп_спуфинг_превеншн работоспособен? Ибо вещь крайне полезная (а то на все ацл-ки, которые нам нужны для перекрытия лишней "фигни" от пользователей банально не хватает места)..

Будет полностью сделана в релизе.