Вопрос, каким образом заппретить обработку пакета "релем" на определенном порту?

При включении свитчей последовательно, получаем ситуацию "размножения" dhcp запросов.

Насколько я могу судить, пакет dhcp обрабатывается 2 раза, 1 раз - коммутируется, и соответсвенно его можно зафильтровать access_profile

Второй раз - обрабатывается процессором.
Вопрос - как разрешить прохождение пакетов dhcp через свитч с порта номер N без изменений при этом со всех остальных портов - делать reley с option 82?

Мы готовим прошивку в которой будут фильтроваться при включении Relay широковещательные пакеты DHCP.

А если у меня для каждого влана свой DHCP (физически один сервак) раздачей можно както рулить с L3 свича?
Я както привык больше к стандартной схеме на рутовые свичи первый раз сеть перевожу.

Вы наверно не совсем поняли

есть схема


Для определенности считаем что
в порты 1-24 свича 1 включены клиенты. Это влан 100
в порт 25 свича 1 включен свич 2. порт 25 входит в 2 влана - 100й (клиенты) и 1-й - управление свичем.

в порты 1-24 свича 2 включены клиенты. Это влан 100.
в 26 порт свича 2 включен свич 1. В 25 порт включен роутер.
порты 25 и 26 входят в 2 влана 1-й и 100-й.
На роутере настроено 2 влана, 1-й и 100-й.

dhcp релеит запросы в 1-й влан.

ф-я релея дхцп работает для свича целиком, по этому года свич 2 получает запрос который релеит свич 1, он тоже его релеит, в результате дхцп-сервер получит запрос 2 раза.

Вопрос - как запретить релей на определнных портах, разрешив при этом на остальных, а так же разрешив пропускать без изменений дхцп-запросы?

Это можно сделать ACL без всяких сложностей.

Только вот запросы разные от клиентов и отрелеенные.
Т.о. если широковещательный запрос от клиента (после того как свитч его перехватил, отработал и отрелеил на нужный сервак уже напрямую) далее свитчем не отправится - это и будет вполне хорошим и правильным решением проблемы. Чего и ждем от очередной прошивки.

Да действительно, если у нас "колбасная" топология, то с последнего свича в этой колбасе будет приходить вместо одного запроса N, где N - количество свичей в колбасе.

Если включена option 82, то первый запрос приходит с клиентским вланом, а ещё N-1 приходят с управляющим вланом.

Всё это не сильно страшно, но полоса-то не резиновая, да и логи читать невозможно...

_________________
DES 3526 - флагман DLINKостроения

Вот ) Вы меня поняли...
Осталось придумать как с этим бороться )

Может попбробовать на магистральных портах фильтровать DHCP Discovery?

Я же говорю будет прошивка. Как только будут известны сроки я Вам сообщу. А вообще пока это можно фильтровать на близжайшем L3 свитче.

да ну?!? рассказывайте как можно зафильтровать подобные пакеты при установке свичей "цепочкой", я весь во внимании ... только перед тем как начать свое удивительное повествование на предмет "фильтрации dhcp relay через acl" ответьте на один вопрос - каким образом ACL видит пакеты dhcp relay если это функционал CPU и работает до механизма ACL? после этого ответа я Вас внимательно выслушаю, обещаю ...Вы правы, жаль что при установке свичей "цепочкой" это, увы, не возможно и поэтому единственно верный выход - классическая"звезда" ... впрочем мы еще не слышали ув. sirmax1, возможно он знает решение, т.к. лично у меня есть одна идея как это можно фильтровать, но вот проверить ее увы все руки никак не дойдут

_________________
с уважением, БП

Единствненое что приходит в голову - аплинк-порты помечать тегом, индивидуально для каждого свича, и трафик агрегировать на чём-то л3, том же 3828. физически-то последовательно, но логически - звезда.

Просто фильтровать весь DHCP Broadcast может быть и по VLAN-ам. Но это естественно только на выщестоящем свитче где Relay выключен.

des 3526
Boot PROM Version : Build 3.00.008
Firmware Version : Build 5.01-B09
Hardware Version : 0A3G

При разрешении доступа на cpu interface только с одного мак-адреса,
клиенты не смогут воспользоваться dhcp relay ? А как бы включить эту функцию, не убирая cpu if filter и не вводя отдельного vlan для управления ?

У Вас Relay на устройстве включён?