Я опечатался, верно, блокирует.
А почитать где я хз.

Параметр illegal_server_log_suppress_duration влияет только на логирование. А компьютер на 5 порту у Вас какой IP получил, именно от роутера? IMPB на коммутаторе используется?

на 5 порту получил именно от роутера, на этом порту пробовал два разных компа, как и положено выдал два разных IP (Аренда IP стоит сутки, поэтому и раздал каждому компу разные IP). На стенде нет, не использую IMPB, но в "боевой" схеме да, работает в losse режиме.

Посмотрите на стенде sh access_profile и убедитесь, что перед правилами созданными фильтром нет других разрешающих правил.

Да действительно, были доп правила. сейчас все Ок. Спасибо.

Но возник еще вопрос такой, через Веб в разделе ACL есть два аксесс_профиля владелец у которых Address_binding. хотелось бы узнать "кто" это и как их удалить?

Нужно проверить настройки IMPB. Если он у Вас в режиме ACL, то так и должно быть.
Если останутся вопросы, то приведите эти правила, пожалуйста.

Точно! Стоял Acl Mode enabled. Убрал, правила исчезли. спасибо.

Не за что.

Здравствуйте.
Есть такая проблема.
Имеется DES-3526 на 1-24 портах влючен DHCP фильтр. Т.е. блокируются нелегальные dhcp серверы клиентов.

Проблема в том, что dhcp-ответы все равно проходят.
т.е. тестовый компьютер, проходя через этот комутатор все равно получает ответ от нелегального dhcp-сервера.

ACL профили проверили, кроме тех что были созданы dhcp фильтром нет. IMPB не включен.

Задача просто блокировать нелегеальные dhcp серверы.

Укажите, пожалуйста, версию прошивки на коммутаторе. Вы уверены, что клиент получает IP именно от одного из DHCP серверов, находящихся на 1-24 портах?

Boot PROM Version 5.00.009
Firmware Version 6.00.B43
Hardware Version 0A3G

Да, абсолютно уверены, даже что идет dhcp со 2 порта. (Определено по записям мак адресов на портах)

Так же для тестовых целей был поднят 3 dhcp сервер на 1 порту.

Соответственно в один промежуток времени мы получили, что наш тестовый dhcp-сервер на 1 порту не работает, а нелегальный на 2м порту работает.

Попробуйте, пожалуйста, ситуацию с прошивкой 6.00.B48, которую я Вам выслал. На тестовом стенде с ней проблем не возникает.

коммутатор DGS-1210-28/ME_OPT
System Firmware Version : 6.13.B029
System Hardware Version : A2
во второй порт воткнут компьютер win7
в 24 порт воткнут другой коммутатор DGS-1210-28/ME_CORE ( в него воткнут легальный DHCP)
в 15 порт воткнул не легальный dhcp сервер
прописал на коммутаторе DGS-1210-28/ME_OPT

config filter dhcp_server ports 1-28 state enable
config filter dhcp_server ports 24 state disable
config filter dhcp_server illegal_server_log_suppress_duration 1min
config filter dhcp_server log state enable
никаких сообщений о втором DHCP сервере на 15 порту не получаю!
И если вытащить из 24 порта витую пару и на WIN7 запустить команды ipconfig /release и ipconfig /renew
то получаю IP адрес не с легитимного DHCP сервера.
Только спасают ACL прописанные в ручную
create cpu_access_profile ip udp src_port_mask 0xffff profile_id 2
config cpu_access_profile profile_id 2 add access_id 2 ip udp src_port 67 port 1-23,25-28 deny

Просьба помочь с ситуацией, заметили что функция filter dhcp_server не отрабатывает.
на доступе стоят 3028 и 3526 на всех коммутаторах включен dhcp_snoop, IMPB, dhcp_local_relay+opt82 и на портах 1-24 включена функция filter dhcp_server. Второй раз за месяц наблюдаем ситуацию что клиент в одном из портов 1-24 включает свой роутер в LAN вместо WAN и начинает раздавать серые адреса, при это ответы от этого роутера расползаются на соседние коммутаторы с тем же клиентским вланом. В логах ничего нет что эта функция отработала, клиенты жалуются приходится вручную искать вредителя и тушить порт.
Прошивки:
на 3028 - 2.94.B07
на 3526 - 6.20.B21

пример конфига 3028:
config filter dhcp_server ports 1-24 state enable
config filter dhcp_server ports 25-28 state disable
config filter dhcp_server trap_log enable
config filter dhcp_server illegal_server_log_suppress_duration 5min
причем что странно в 3028 пустой access_profile
Command: show access_profile
The access profile table is empty.

конфиг 3526:
config address_binding ip_mac ports 1-24 state enable
config filter netbios 1-26 state enable
config filter extensive_netbios 1-26 state enable
config filter dhcp_server ports 1-24 state enable
enable address_binding dhcp_snoop
enable dhcp_relay
enable dhcp_local_relay
disable address_binding acl_mode
config pppoe circuit_id_insertion state disable
disable address_binding arp_inspection

traffic_segmentation вас спасёт
а вообще надо делать vlan-на-клиента