Есть цепочка: DHCP server - DES3028 - клиент

Необходимо что бы клиент автоматом получал IP адрес от DHCP не зависимо от того какой у него MAC, но если клиент прописывает адрес вручную, (отличный от того что предлагал DHCP) нужно что бы порт блокировал трафик.

Boot PROM Version Build 1.00.B06
Firmware Version Build 2.80.B08

Текущие настройки:

DHCP/BOOTP Relay Global Settings
BOOTP Relay State - Enabled
BOOTP Relay Hops Count Limit - 16
BOOTP Relay Time Threshold - 0
DHCP Relay Agent Information Option 82 State - Enabled
DHCP Relay Agent Information Option 82 Check - Disabled
DHCP Relay Agent Information Option 82 Policy - Replace

IMP Global Settings
ACL Mode - Disabled
Trap/Log - Disabled
DHCP Snoop State - Enabled

IMP Port Table
Port State Allow Zero IP Forward DHCP Packet Max Entry
1 Disabled Disabled Enabled 5
2 Enabled(Strict) Enabled Enabled 5
3 Disabled Disabled Enabled 5
4 Disabled Disabled Enabled 5
5 Enabled(Strict) Enabled Enabled 5

И вот тут возникает проблема, клиент на 2 порту работает нормально, а клиент на 5 порту сразу попадает MAC block list.

Как можно реализовать для всех клиентов получения IP адреса без привязки к MAC, но с блокирование порта если IP не соответствует предложенным DHCP?

Используйте DHCP Option 82 в связке с DHCP Snooping.
Посмотрите презентацию на эту тему

Я как раз все и сделал по этой презентации, но некоторые из клиентов все равно попадают в MAC block list .
к примеру в бане 00:1с:c0:1f:c7:c7 порт 3

на сервер DHCP в файле /etc/dhcp3/dhcpd.conf вижу следующее:

class "switch21_3" {
match if concat(binary-to-ascii (16, 8, ":", suffix ( option agent.remote-id, 6)),":",binary-to-ascii (10, 8, "",suffix( option agent.circuit-id, 1))) = "0:21:91:7a:8b:cd:3";
log(info,"DHCP FROM B-Mira21_3");

хотя у клиента mac - 00:1с:c0:1f:c7:c7
У них 2 компа и они периодический переключают шнурок между компами.

если добавить эти адреса в Static IMP Entry Table то тогда все работает, но в ручную это делать не правильно, в этой таблице же есть другие записи где MODE - AUTO, а при ручном добавлении mode всегда ARP.

Отредактируйте Max_entry на этом порту, указав 2.

Попробовал, не помогло. я так помогало , что это как раз допустимое количество маков, и если 5 не работает то и 2 тоже по идее не должно.

кстати адрес 00:21:91:7a:8b:cd - это оказывается адрес свича

Ну так все верно - на DHCP сервер приходит пакет с agent-id коммутатора.
Выдайте пользователю второй ip адрес, увеличьте число связок до двух, или пусть ставит себе роутер и прячет свою сеть за nat.