Нет причин не использовать проверку на спуфинг в своей сети, когда знаешь кто и что должно быть за конкретным портом. Если получается сделать это на коммутаторах, то надо сделать это на коммутаторах, если получается сделать это на маршрутизаторах, то и там надо это сделать.
Практически на каждом своём устройстве я могу видеть вот такое на входе с абонентской сети 10.0.0.0:

Feb 21:W:ACL:denied tcp 192.168.1.139(50410)(f8f0.8251.66b7)->2.20.254.99(http)
Feb 21:W:ACL:denied tcp 192.168.0.100(50016)(1c7e.e543.9024)->13.33.22.46(443)
Feb 21:W:ACL:denied tcp 192.168.0.104(49632)(1c7e.e543.9024)->37.29.19.122(http)
Feb 21:W:ACL:denied tcp 192.168.0.102(33331)(1c7e.e543.9024)->173.194.32.212(443)
Feb 20:W:ACL:denied tcp 192.168.1.138(45817)(f8f0.8251.66b7)->31.128.159.35(443)

Красивый способ борьбы - включить uRPF, то же на cisco.com.
Не у всех производителей это есть. Бывает, реализовано на уровне CPU, что сильно негативно сказывается на работе. Но в этом случае такое стоит повторить с помощью ACL: разрешить только…