Здравствуйте, помогите пожалуйста разобраться.
Коммутатор des - 3526
Boot PROM Version 5.00.009
Firmware Version 6.00.B27

Решил заняться широковещательным флудом. Создал следующие ACL

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 150
config access_profile profile_id 150 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 1 permit
config access_profile profile_id 150 add access_id 2 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 11 permit
config access_profile profile_id 150 add access_id 3 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 17 permit
config access_profile profile_id 150 add access_id 4 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 23 permit
config access_profile profile_id 150 add access_id 5 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 24 permit
config access_profile profile_id 150 add access_id 6 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1 deny
config access_profile profile_id 150 add access_id 7 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 11 deny
config access_profile profile_id 150 add access_id 8 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 17 deny
config access_profile profile_id 150 add access_id 9 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 23 deny
config access_profile profile_id 150 add access_id 10 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 24 deny
config access_profile profile_id 150 add access_id 11 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x86DD port 1 deny
config access_profile profile_id 150 add access_id 12 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x86DD port 11 deny
config access_profile profile_id 150 add access_id 13 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x86DD port 17 deny
config access_profile profile_id 150 add access_id 14 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x86DD port 23 deny
config access_profile profile_id 150 add access_id 15 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x86DD port 24 deny

На коммутаторе включен IP_MAC_BINDING

config address_binding ip_mac ports 1-10,12-15 state enable
config address_binding ip_mac ports 1-10,12-15 allow_zeroip enable
enable address_binding acl_mode
disable address_binding trap_log
disable address_binding dhcp_snoop

ip адреса выдаются динамически DHCP сервером.

После всего сделанного на следующий день позвонил один клиент(24 порт), сказал, что не получает ip адрес. Сходили проверили, действительно проблемы не у него зашли к его соседям у них всё отлично(находятся на том же порту), добавил новых правил


create access_profile ip udp src_port_mask 0xFFFF profile_id 98
config access_profile profile_id 98 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 98 add access_id 2 ip udp src_port 67 port 1 deny
config access_profile profile_id 98 add access_id 12 ip udp src_port 67 port 11 deny
config access_profile profile_id 98 add access_id 18 ip udp src_port 67 port 17 deny
config access_profile profile_id 98 add access_id 24 ip udp src_port 67 port 23 deny
config access_profile profile_id 98 add access_id 25 ip udp src_port 67 port 24 deny

create access_profile ip destination_ip_mask 255.255.255.255 udp dst_port_mask 0xFFFF profile_id 99
config access_profile profile_id 99 add access_id 1 ip destination_ip 255.255.255.255 udp dst_port 67 port 1 permit
config access_profile profile_id 99 add access_id 2 ip destination_ip 255.255.255.255 udp dst_port 67 port 11 permit
config access_profile profile_id 99 add access_id 3 ip destination_ip 255.255.255.255 udp dst_port 67 port 17 permit
config access_profile profile_id 99 add access_id 4 ip destination_ip 255.255.255.255 udp dst_port 67 port 23 permit
config access_profile profile_id 99 add access_id 5 ip destination_ip 255.255.255.255 udp dst_port 67 port 24 permit

Всё стало отлично. Вопрос почему у других пользователей(а их около 300 на данном комутаторе) при этом всё работает отлично и они получают нормально ip адреса.

И не должен ли был у всех пропасть доступ к dhcp серверу после такого правила ?
config access_profile profile_id 150 add access_id 9 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port ** deny

Должен, если не используется dhcp_relay

Посмотрите пожалуйста вот эту тему:
viewtopic.php?t=25868

dhcp_relay не используется.

# DHCP_RELAY

disable dhcp_relay
config dhcp_relay hops 4 time 0
config dhcp_relay option_82 state disable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy replace
config dhcp_relay option_82 remote_id default
config dhcp_relay option_60 state disable
config dhcp_relay option_60 default mode drop
config dhcp_relay option_61 state disable
config dhcp_relay option_61 default drop

# DHCP_LOCAL_RELAY

disable dhcp_local_relay
config dhcp_local_relay option_82 ports 1-26 policy keep

Сделал, такие же правила на другой коммутатор(без profile_id 98,99), ни одного звонка от клиентов.
Может ли быть такое, что на данной прошивки acl вообще не работают ?
Хотя тому клиенту помогло