@Executor 说明机房自己做的一坨, 瞎整, 一刀切.
要不就忍气吞声, 把 drop 改回去, 要不就另寻其他机房吧

@Executor 大多数交换机只会通过 ARP 报文学习 ARP (ethtype == 0x0806). 但不排除有的交换会把所有进 CPU 的报文的 IP-MAC 都学到 ARP 里面
ARP 攻击也得是发非法 ARP 才算吧, 这种情况就算 DAI 都挡不住
还有就是为什么会把别的网段的包转到这个口, 这就很不合理
建议机房严查, 感觉是交换的 BUG

不会.
这怎么看都不对啊, 11.1.2.3 发给 10.1.2.3 和 10.1.2.4 的 icmp admin-prohibited 包, 源 MAC 和源 IP 对应该是 11.1.2.3 | abcd-ef01-0203, 目的 IP 是 10.1.2.3 和 10.1.2.4, 目的 MAC 是 11.1.2.3 的网关 MAC.
没道理会学到 10.1.2.4 | abcd-ef01-0203 的 ARP 表项

还是说你的服务器发的是 10.1.2.4 -> 10.1.2.3 的 icmp admin-prohibited 包? 源 IP 和源 MAC 是 10.1.2.4 和 abcd-ef01-0203?
这样的话, 可能会学到 ARP, 看策略