Схема такая

сервер dhcp -----свич стороннего производителя -----dlink 3526
Также в свич стороннего проихводителя воткнут неуправляемый свич

на сервере и свиче 3526 настроен и работает dhcp relay

Все работает как положено
dhcp пакеты с option 82 релеятся в управляющий вилан, абонент получает адрес.
Свич стороннего производителя не поддерживает ACL умеет только влан 8021q

Далее - при попытке получить адрес абонент из неуправляемого свича
отправляет броадкаст, его принимает 3526 (а также все 3526 которые не отражены на схеме и воткнуты в порты свича) и релеят в сторону сервера

У каждого свича 3526 аплинк порты 25-26.

таким образом получается что при попытке получения адреса абонентом из неуправляемого свича мы получаем кучу отрелеиных запросов на сервер с 25-26 портами в opt_82 (каждый свич их получил и отрелеял).
Сервер отвечает всем: no free leases как и должно быть.
Но мы получаем паразитную нагрузку на сервер, и думается мне на каждый из свичей 3526

Решений вижу несколько
1-заменить тупой свич тем же 3526
2-В качестве свича стороннего производителя использовать свич с АСL где и запретить ненужные пакеты

Эти решения ясны, но хочется решить проблему с помощью CPU_interface filtering

правильно ли я понял что нужно на каждом свиче 3526 нужно создать профили и заблокировать 67,68 UDP порты на аплинк портах?
Можете подсказать
1-правильно ли я рассуждаю
2-Команду для 3526

create access_profile ip udp src_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 68 port 25-26 deny

Я правильно понял задачу?
1. Абоненты, которые подключены к 3526-му, получают адреса с исп. dhcp-relay
2. Абоненты, которые подключены с неуправляемому свичу, не получают адресов
Если так, то такой АЦЛ на порт, соединяющий 3526-й и свич стороннего производителя (предположим, 25-й),

должен прибивать DHCP-запросы с 25-го порта.

Впрочем, terrible ответил, пока я дописывал свой пост

_________________
не важно, из какого места растут золотые руки

Вы не совсем правы.
логика свичей такая что сначала работает релей, а потом ACL.
Поэтому АСL -ами проблему не решить.
Собственно вопрос том решить ли ее с помощью CPU_Interface filtering

или не получится?

в настройках правил для CPU interface нет портов. т.е., то есть выделить неким образом 25-й порт и что-то с него запретить не получится

_________________
не важно, из какого места растут золотые руки

Вы команду enable dhcp_local_relay не забыли ввести?