Есть сеть из нескольких сотен коммутаторов, к ним подключены клиенты.
Управление через выделенный 196 влан, включена опция 82.
DHCP сервер ловит запросы от свичей и выдает правильные адреса на правильные порты

Проблема 1
Помимо правильных запросов от свичей приходят параллельные запросы, которые, соответственно не обрабатываются.
Выглядит это так:
Jan 11 11:59:26 dhcpd dhcpd: DHCPREQUEST for 89.255.68.177 from 00:14:d1:91:90:a7 via veth0: lease 89.255.68.177 unavailable.
Jan 11 11:59:26 dhcpd dhcpd: DHCPNAK on 89.255.68.177 to 00:14:d1:91:90:a7 via veth0
Jan 11 11:59:26 dhcpd dhcpd: DHCPREQUEST for 89.255.68.177 from 00:14:d1:91:90:a7 via veth0: lease 89.255.68.177 unavailable.
Jan 11 11:59:26 dhcpd dhcpd: DHCPNAK on 89.255.68.177 to 00:14:d1:91:90:a7 via veth0
Jan 11 11:59:26 dhcpd dhcpd: DHCPREQUEST for 89.255.68.177 from 00:14:d1:91:90:a7 via veth0: lease 89.255.68.177 unavailable.
Jan 11 11:59:26 dhcpd dhcpd: DHCPNAK on 89.255.68.177 to 00:14:d1:91:90:a7 via veth0
Jan 11 11:59:26 dhcpd dhcpd: DHCPREQUEST for 89.255.68.177 from 00:14:d1:91:90:a7 via veth0: lease 89.255.68.177 unavailable.
Jan 11 11:59:26 dhcpd dhcpd: DHCPNAK on 89.255.68.177 to 00:14:d1:91:90:a7 via veth0
Jan 11 11:59:26 dhcpd dhcpd: DHCPREQUEST for 89.255.68.177 from 00:14:d1:91:90:a7 (SC9190A6) via 192.168.129.144
Jan 11 11:59:26 dhcpd dhcpd: DHCPACK on 89.255.68.177 to 00:14:d1:91:90:a7 (SC9190A6) via 192.168.129.144


Проблема 2.
Где-то подключено что-то неправильно, в результате некий запрос ловят все свичи и перенаправляют на сервер. Это выглядит так:

Jan 11 12:19:48 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.196.170: network managment1: no free leases
Jan 11 12:19:48 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.196.34: network managment1: no free leases
Jan 11 12:19:48 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.129.233: network managment1: no free leases
Jan 11 12:19:48 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.130.234: network managment1: no free leases
Jan 11 12:19:48 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.129.237: network managment1: no free leases
Jan 11 12:19:48 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.196.246: network managment1: no free leases
Jan 11 12:19:48 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.129.227: network managment1: no free leases
Jan 11 12:19:48 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.196.190: network managment1: no free leases
Jan 11 12:19:48 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.131.181: network managment1: no free leases
Jan 11 12:19:48 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.196.182: network managment1: no free leases
Jan 11 12:19:48 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.130.104: network managment1: no free leases
Jan 11 12:19:48 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.196.132: network managment1: no free leases
Jan 11 12:19:49 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.129.241: network managment1: no free leases
Jan 11 12:19:49 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.196.173: network managment1: no free leases
Jan 11 12:19:49 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.129.212: network managment1: no free leases
Jan 11 12:19:49 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.131.185: network managment1: no free leases
Jan 11 12:19:49 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.129.225: network managment1: no free leases
Jan 11 12:19:49 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.130.235: network managment1: no free leases
Jan 11 12:19:49 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.129.228: network managment1: no free leases
Jan 11 12:19:49 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.196.243: network managment1: no free leases
Jan 11 12:19:49 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.129.185: network managment1: no free leases
Jan 11 12:19:49 dhcpd dhcpd: DHCPDISCOVER from 00:25:90:6f:2d:6c via 192.168.196.191: network managment1: no free leases

Кто такой 00:25:90:6f:2d:6c я найти не могу - нигде в fdb я не увидел.

===========================

Вопрос, соответственно, как правильно настроить фильтрацию?
Через АСL на машистральных портах или еще как-то?

На текущий момент, все, что есть - это ACL на свичах доступа:
create access_profile ip udp src_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25-28 permit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24 deny

На магистрали вообще не фильтруется.

Какие коммутаторы? Приведите настройки dhcp_relay

В основном DES-3028 и 1228ME

# DHCP_RELAY

enable dhcp_relay
config dhcp_relay hops 16 time 0
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy keep
config dhcp_relay option_82 remote_id default
config dhcp_relay add ipif System 192.168.196.254

# DHCP_LOCAL_RELAY

disable dhcp_local_relay
config dhcp_local_relay option_82 remote_id default
config dhcp_local_relay option_82 ports 1-28 policy keep

На серии DES3526 аналогичная проблема решалась включением dhcp_local_relay без настроек, он в таком режиме ловит все запросы (включая "мусор" с магистральных портов), но не выпускает их за пределы коммутатора.

_________________
AB-Style: Выходных дней два в году - Новый Год и Апокалипсис. Да и то что-то с Апокалипсисом не везёт...
D-Link User: DES-3526/3550, DES-3528, DES-3018, DES-3200-XX, DGS-3612/3627G, DCS-9x0, DCS-3220, DVG-5112S, DPH-400S + разные роутеры и медиаконвертеры

Спасибо, попробую.

А на магистральных свичах, где сейчас dhcp_relay b dhcp_local_relay в дефолте, что-то стоит включить?

На 3028 и 1228/me не надо включать local_relay, просто измените немного настройки, вместо

впишите
где в качестве [vlanid] укажите те виланы, в которых Вам нужен dhcp relay.

Поменял на некоторых свичах ipif System на vlan 196, и тут же получил

Jan 15 18:57:28 dhcpd dhcpd: DHCPDISCOVER from 6c:62:6d:ad:3c:05 via 192.168.129.213: network managment1: no free leases
Jan 15 18:57:28 dhcpd dhcpd: DHCPDISCOVER from 6c:62:6d:ad:3c:05 via 192.168.196.240: network managment1: no free leases
Jan 15 18:57:28 dhcpd dhcpd: DHCPDISCOVER from 6c:62:6d:ad:3c:05 via 192.168.129.211: network managment1: no free leases
Jan 15 18:57:28 dhcpd dhcpd: DHCPDISCOVER from 6c:62:6d:ad:3c:05 via 192.168.196.160: network managment1: no free leases
Jan 15 18:57:28 dhcpd dhcpd: DHCPDISCOVER from 6c:62:6d:ad:3c:05 via 192.168.196.141: network managment1: no free leases
Jan 15 18:57:28 dhcpd dhcpd: DHCPDISCOVER from 6c:62:6d:ad:3c:05 via 192.168.196.239: network managment1: no free leases
Jan 15 18:57:28 dhcpd dhcpd: DHCPDISCOVER from 6c:62:6d:ad:3c:05 via 192.168.196.167: network managment1: no free leases
Jan 15 18:57:28 dhcpd dhcpd: DHCPDISCOVER from 6c:62:6d:ad:3c:05 via 192.168.196.152: network managment1: no free leases


для клиентов на этих свичах

а если policy в dhcp_relay сделать не keep (если есть опция - пропускать как есть), а replace (если опции нет - дописывать, если есть - менять на свою). При прочих равных. Предположение, как и прошлое, ибо с данным оборудованием не работал.
Так же интересно, а "нелегальные" запросы по option_82 Вам с каких портов прилетают - с доступа или с магистральных?

_________________
AB-Style: Выходных дней два в году - Новый Год и Апокалипсис. Да и то что-то с Апокалипсисом не везёт...
D-Link User: DES-3526/3550, DES-3528, DES-3018, DES-3200-XX, DGS-3612/3627G, DCS-9x0, DCS-3220, DVG-5112S, DPH-400S + разные роутеры и медиаконвертеры

Попробую теперь расписать подробнее, как я это понимаю.

Клиенты живут на портах свича доступа. То есть запросы без опции 82 должны приходить только с этих портов. Если запрос без опции пришел по магистрали - что-то не так.
Свичи доступа могут быть в цепочке, так что с магистральных портов пакеты могут приходить с опцией.

Таким образом мне надо
1) фильтровать на магистральных портах пакеты без опции. Причем на всех коммутаторах, включая агрегацию.
2) на портах доступа подставлять опцию. Если вдруг с порта доступа пришел пакет с опцией - фильтровать
3) На магистральных портах пакеты с опцией пропускать без изменения.

Правильно ли я понимаю, и что мне сделать?

Влан на коммутатор или на большее число? Если на большее, то на 3028 имхо не решаемо. Если на один то решается как написал Alexandr Zaitsev.

_________________
D-Link Switches: Tips & Tricks

В управляющем влане сидит несколько сотен коммутаторов. Пока это проблем не доставляло.

То есть через ACL сделать ничего не удастся?

__IF__
Уточните пожалуйста, вот этот лог:


В нём присутствует тот коммутатор, в который подключен пользователь? Модель коммутатора, в который подключен пользователь и его настройки относительно dhcp_relay и dhcp_local_relay. Коммутаторы, отмеченные в логе, это что за модели?

Лог dhcp к сожалению уже кончился. Но по памяти - клиенту адрес не выдавался, так как запрос со свича приходил без 82

В приведенном куске лога все адреса - это 3028 и 3028G , Firmware: Build 2.90.B07
У всех настройки dhcp_relay и dhcp_local_relay такие же, как третьем сообщении. Единственное, где-то может hops 4 стоять.

Вы заменили настройки на config dhcp_relay add vlan vlanid ? Удалили dhcp_relay с интерфейса?

Я выполнил две команды
config dhcp_relay add vlanid 196 192.168.196.254
config dhcp_relay del ipif System 192.168.196.254


Завтра с утра готов повторить эксперимент