Собственно, такой вопрос. Не могу найти нормального мануала по данной функции. Дайте, пожалуйста, линк на нормальный мануал или тут объясните по-подробнее принцип его работы и что этот фильтр умеет, а что не умеет. Заранее огромное спасибо!

Если включить его на клиентских портах, то он фильтрует DHCP ответы по 67 порту.
Таким образом, клиент может сам получать IP-адрес по DHCP, но в роли сервера выступить уже не может.

Да, про это я в курсе. А если мы включим его на магистральном свитче (например DGS-3120) на портах, от которых работают коммутаторы доступа...

Включать можно на всех портах, за которыми не находится ваш собственный DHCP сервер.

То есть по сути этот функционал подобен ACL c src_port 67 deny?

Да, это то же самое.

Что делать, если эта функция не работает?

Device Type : DES-3200-28P Fast Ethernet Switch
Boot PROM Version : Build 4.00.001
Firmware Version : Build 4.36.B008
Hardware Version : C1

В логах:
181 2013-10-23 13:19:11 INFO(6) Detected untrusted DHCP server (IP: 192.168.178.1, Port: 9)

Настройки:
CROSS2:admin#show filter dhcp_server
Command: show filter dhcp_server

Enabled Ports: 9
Trap & Log State: Enabled
Illegal Server Log Suppress Duration:5 minutes

Permit DHCP Server/Client Table:
Server IP Address Client MAC Address Port
----------------- ------------------ --------------------
109.*.*.1 All Client MAC 26
192.168.1.1 All Client MAC 26

Total Entries: 2

На 9м порту влан отдается без тега:
CROSS2:admin#sh vlan po 9
Command: show vlan ports 9

Port VID Untagged Tagged Dynamic Forbidden
----- ---- -------- ------ ------- ---------
9 4**7 X - - -

По факту:
Компьютер на 26 порту продолжает получать ip адреса с этого сервера.
Если порт 9 опустить, то не получает.

Проверьте, что клиент пытается получить адрес именно посылкой пакета dhcp discover, а не продлить аренду с помощью dhcp request

Попробовал и release и renew все равно получает.

На стенде с 4.36.B009 фильтрация работает исправно.
Посмотрите ситуацию с ней, если проблема не исправится - пришлите, пожалуйста, полный конфиг коммутатора мне на почту с указанием портов подключения клиента и сервера, а также дамп dhcp трафика с клиента и сервера.
Спасибо.

На какой адрес почты прислать? Обновился до 4.36.B009 ситуация сохранилась.

Свич - POE, на порту пое включен, но за ним роутер обычный.

Device Type : DES-3200-28P Fast Ethernet Switch
Boot PROM Version : Build 4.00.001
Firmware Version : Build 4.36.B009
Hardware Version : C1

Пока могу прислать дамп только с клиента.

az@dlink.u
присылайте сниф с клиента и конфиг коммутатора.

Отправил Вам в почту.
Если какой-то информации не хватает, я выше указал модель и версии прошивок.

Свич удалось вернуть в офис, теперь могу предоставить любую информацию по нему.
На стенде удалось воспроизвести проблему.

Письмо так же отправил Вам, но ответа не получил.

Точно такая же проблема с DGS-3200-10
Проверял на прошивках DGS3200_Run_2_00_B018.had и DGS3200_Run_2_21_B009.had

В логах есть записи вида:

13 2014-02-05 17:43:29 INFO(6) Detected untrusted DHCP server (IP: 192.168.1.
1, Port: 3)

Но блокировки сервера не происходит.

Что особенно странно, добавление следующих ACL также не блокируют сервер на порту:

# ACL

create access_profile profile_id 5 ip udp src_port_mask 0xFFFF
config access_profile profile_id 5 add access_id 1 ip udp src_port 67 port 3 deny
config access_profile profile_id 5 add access_id 2 ip udp src_port 68 port 3 deny