Господа, покритикуйте идею борьбы со злом в виде arp spoof-инга без использования IMB с помощью ACL-й.

1. Создаем packet_content ACL блокирующий на всех клиентских портах arp reply пакеты. Таким образом клиенты перестанут отвечать на все ARP запросы.

2. Подключаем к магистральному порту сервер который будет вместо клиентов отвечать на arp запросы согласно своей базы IP-MAC (которая может задаватся статически или браться динамически из dhcp сервера)

Традиционная фильтрациея неправильных ARP ответов с помощью packet_content ACL требует для каждого порта создание правил с отличающимися параметрами. В этом же случае все правила на всех портах однотипные. Лишая клиентов возможности arp spoof-ить, мы при этом фактически сами начинаем заниматся arp spoof-ингом, но правильным и централизовано контролируемым из одного места.

а если много vlan-ов, он должен висеть во всех одновременно?
Это arp-relay бы тогда в свиче не помешал:)

интересная мысль! запретить ARP ответы клиентов, сервак ляжет - клиенты тоже.
IMB мне кажется неплохо справляется со своей задачей, мне кажется вам нужно запретить ответы с клиентских портов IP-шлюзов, мы реализовали - больше не мучает проблема подмены, IMB контролирует TCP клиентов, РРР - РРР клиентов, доступ в сеть защищен,

PS хотя на некоторых прошивках свитчей вводили в ступор свитч с двумя машинами одного адреса на разных портах - в результате одна машина свободно могла работать, другая через раз - исправлено вендором (FW)

_________________
за вещью должно быть еще что-то