>>1. На 2950 с помощью port security привязываешь mac-и к порту.
>
>на одном порту сидят несколько клиентов( хаб )
>
>>2. На 1721 с помощью arp привязываешь ip к mac
>
>то есть скажем прописываем ассоциацию мака и адреса, и потом акселями закрываем
>или как?

Думаю достаточно просто татически прописать arp-запись, без acl
arp 192.168.10.10 0002.b3d8.dcb2 arpa
А если не делать привязку маков к портам, то можно будет просто прописать себе чужой MAC+IP и спокойно работать выдавая себя за другого юзера. А расчитываь на что мак менять не станут не стоит, даже в внде это легко меняется в свойствах сетевой карты.
Можно к одному порту коммутатора привязать несколько маков, и настройть секьюрити в такой режим, чтоб левые маки просто игнорировались, без отрубания порта. Тогда круг "подозреваемых" будет ограничен хостами подключенными к одному порту каталиста. Если клиентов много то нужно сделать базу где для каждого клиента будет указан mac, ip и указано к какому проту и на каком каталисте подключен клиент. И к этому еще софт, которые автоматически правит конфиги на каталистах при изменениях в базе. Реализовать например этот можно с помощью snmp+tftp. Можно ли это сделать только с помощью snmp пока не знаю...

>
>>https://www.opennet.ru/openforum/vsluhforumID6/5584.html
>>https://www.opennet.ru/openforum/vsluhforumID3/3906.html
>
>
>спасибо за ссылки, но интересует именно решение на рутере, так как на
>свиче количество клиентов и их принадлежность к портам не статичны и
>регулярно меняются.

Citrin тебе уже ответил ! создаешь arp таблицу и всё!
arp 192.168.10.10 0002.b3d8.dcb2
sh arp