подмена IP и MAC адресов..

настроить на свитчах фильтрацию.

... а подешевле вареанта нету ? (меньше 400$ не видел).

Сделать так, чтоб сервисы (доступ к ним) были независимыми от IP и MAC адресов :-)

Да у меня сервисы и так независимы. Мне нужно трафик считать !!!

Некоторые используют pppoe, от чайников это спасает поскольку обмен идет по ppp протоколу,но если уперется рогом то и это дело можно обойти.

А можно вопрос:
зачем злоумышленникам подменять эти параметры, если от них не зависит доступ к сервисам?

> Да у меня сервисы и так независимы. Мне нужно трафик считать !!!
Значит не все сервисы независимы :-)
Например, такой сервис, как предоставление доступа туда, куда ты собираешься считать траффик по IP/MAC.

1) Считай не по адресам, раздай, например, всем login/password, поставь proxy, который будет предоставлять такой сервис, как сейчас, + спрашивать пароли (с использованием шифрования). :-))
Это так, просто для примера: в этом случае подмена уже не будет играть никакой роли.

2) Считай по адресам, как сейчас, + поставь какую-нибудь систему обнаружения подмены, которую нельзя было бы обмануть (в факте существования которой я очень не уверен :-)) ). Тогда адреса подменить смогут, а пользоваться услугами - нет, т.к. будут замечены и заблокированы.

Чего-то конкретного посоветовать не могу, т.к. все очень зависит от схемы сети, возможностей используемого оборудования, способности начальства раскручиваться на покупку нового, уровня "хакерских" способностей user-ов, значимости защищаемого траффика....

посмотри arpwatch

1.ARP - привязываешь ip-адреса к MAC-адресам.

2. DHCP - раздаешь каждому MAC-адресу определенный IP.
При этом с тех IP для которых нету соответствия с MAC-адресом запрещаешь доступ.

все намного проще, чем кажется.