MAC Address Table
VID VLAN Name MAC Address Port Type
200 vlan_200 00-1E-58-D3-41-10 CPU Self

MAC Address Table
VID VLAN Name MAC Address Port Type
200 vlan_200 00-1E-58-D3-41-10 25 Dynamic

В ядре стоят 2 коммутатора 3627G на первом созданы интерфейсы и в логах
Possible spoofing attack from (IP 192.168.200.1 MAC 00-1E-58-D3-41-10 port 25) периодически идет эта месага

Знаю что это может быть петля или кто то подставляет себе айпи интерфейса.
Петли думаю нет, так как включены лупдетект и проблем с ним не было.
Айпи думаю может быть, только как найти не могу понять, как не сканирую сеть ответ один интерфей коммутатора.

Помогите решить проблему спасибо.

Как вариант кольцо на 1м из свичей, лупдетект срабатывает много позже. Проверьте отсылки трапов, насторойки луп детекта, чтоб порт сканировался раз в секунду и вырубался навсегда . На свиче доступа кольцо (порт сдох), получаем сообщение в логе на 3627 много позже.
Порт успешно вырубается и по таймауту в настройках лупдетекта подымается и идет чехарда. Принято решение гасить насовсем и потом инженера проверяют.

лупдетект когда срабатывает пишет в лог,а лога чиста, то есть проблема между двумя 3627G на 25 стекируемом порту и только на первом коммутаторе на котором интерфейсы подняты видно в логе ошибка.

1 коммутатор
Boot PROM Version Build 1.10-B09
Firmware Version Build 2.81.B03
Hardware Version A1

2 коммутатор
Boot PROM Version Build 1.10-B09
Firmware Version Build 2.81.B03
Hardware Version A1

У Вас они в стек объединены?
в 25 порт первого 3627G кто подключен? Второй 3627G, в который дальше коммутаторы доступа?
vlan 200 это пользовательский vlan?
Тогда ищите на коммутаторах доступа порт, который изучает слишком много маков.
У нас такое было с 3200-18 после грозы.

Если в 25 порту второй 3627g, то если есть возможность поднимите этот интерфейс на нем, тогда будет ясно с какой конкретно ветки приходит это.
Если не ошибаюсь, то это не обязательно "кто-то" подставляет ip, скорее всего "кто-то" подставляет mac, попробуйте использовать ARP spoofing preventation

1 коммутатор
Boot PROM Version Build 1.10-B09
Firmware Version Build 2.81.B03
Hardware Version A1

2 коммутатор
Boot PROM Version Build 1.10-B09
Firmware Version Build 2.81.B03
Hardware Version A1

3 коммутатор 26порт
Boot PROM Version Build 1.10-B09
Firmware Version Build 2.81.B03
Hardware Version 1A1G

Possible spoofing attack from (IP 192.168.65.1 MAC 00-1E-58-D3-41-01 port 26)

Выяснил, что когда на коммутаторе 3 тушу 2 порт проблема исчезает.
Пошел дальше, на следующем коммутаторе тушу все порты по очереди кроме прихода проблема есть, тушу 2 порт опять проблемы снова нет.

Получается, что есть коммутатор с выключенными всеми портами кроме прихода (без флудовых портов живой) и с него сыпется ошибки (Possible spoofing attack from (IP 192.168.65.1 MAC 00-1E-58-D3-41-01 port 26))
Так же в логе на коммутаторе 3 пусто

Как это может быть? подскажите кто знает реально что делать а то порядком надоел этот бред.