Hola Alexander!
Como mencionas, podrías utilizar port-security con el comando mostrado, otra forma es descartar de entrada todas las tramas que llegan con esa dirección MAC a nivel de las ASICs, esto varía de acuerdo a la plataforma, pero el comando que se puede utilizar es «mac-address-table static 0000.0000.0000 vlan 101 drop» (puede que no lo puedas hacer en tu switch); finalmente otra forma es simplemente evitar que el switch genere logs para ese evento, sin embargo esta no creo que sea la mejor solución.
Si te fijas en este link de Cisco: https://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/71079-arp-cam-tableissues.html#zero básicamente la solución recomendada es encontrar al dispositivo que genera la trama con MAC 0.0.0 y arreglarlo (actualizar sistemas operativos, reiniciarlos, etc.), no hay mucha mayor información sobre el tema; la cuestión acá es encontrar al dispositivo que genera esa trama lo cual puede ser bastante problemático, lo que se me ocurre, es que vayas configurando el comando “mac-address-table static 0000.0000.0000 vlan 101 drop” en los switches de acceso uno por uno (en los switches donde se conectan tus APs), de manera que vayas viendo si los logs desaparecen en tu switch de núcleo, así estarías encontrando al switch de acceso que tiene al dispositivo de red que genera ese log, y después creo que ya solo queda ir descartando dispositivo por dispositivo hasta encontrar al equipo que genera las tramas erróneas.
Espero que mi respuesta te ayude.
Saludos!