А как DHCP-relay решит проблему, кт обсуждается в этом топике??? Расскажите, а то я пока не представляю...

DHCP-relay получает широковещательный пакет еще *до* ACL-правил и перенаправляет его на DHCP-сервер по юникасту. Ответ сервера приходит на свитч, который передает его клиенту. Дальше общение клиента и DHCP-сервера проходит по юникасту и не зависит от DHCP-релея (свитча).

Если у ПК адрес 169..., то это значит, что ПК не смог получить адрес по DHCP и адрес был назначен Windows. ПК попробовал проявить активность и связка была заблокирована.

Если ПК перезапросит адрес по DHCP и получит его, а после этого пошлет пакет с правильными IP/MAC, то блокировка тут же исчезнет.

У нас такая схема работает более чем на тысячу ПК. Проблем с последней версией прошивки нет. Если пожелания по доведению до ума, но и без этого все выглядит вполне прилично.

Мммм.... Мне почему-то казалось, что есть на DHCP-relay какое-то ограничение по количеству пользователей на порту... Или это мне казалось?

Путаете с 802.1x. Там для одной из реализаций действительно один пользователь на порту, но есть вариант и с несколькими абонентами (не пробовал).

DHCP-relay простая функция, которая надежно работает. Использование DHCP-relay с Option82 грамотное решение в больших сетях (всегда знаете откуда пришел запрос).

Стоит посмотреть еще в сторону DHCP Snooping как стандартной технологии, но сейчас тестировать нет ни желания, ни времени.

Вот как раз в DHCP Snooping по-моему какие-то ограничения были... Короче, что-то на эту тему на форуме я читал.
За совет относительно DHCP relay - спасибо. Буду пробовать. Если действительно все именно так шоколадно, то буду у себя вводить массово.

хотелось бы более менее полного последовательного описания dhcp snooping и с ним связанного
чтобы знать как работает и чего ожидать
пока только краткие описания команд есть

А его пока и не будет. Вы не могли бы перезвонить завтра в офис по телефону 744-00-99 доб.390.

все именно так!свич как и положено релею бродкастом передает ответ сервера клиенту, правда тут есть небольшое "но", а именно - свич бродкастит не в конкретный Circuit ID, который ему (свичу) прекрасно известен, а посылвает ответ бродкастом на все порты:(

Уверены? Я раньше не замечал такого. Должен только в один порт послать ответ (откуда запрос). Наверное лучше создать отдельную тему по этому вопросу.

я как то тоже не задумывался пока снифером не посмотрел и не увидел что свич как и положено релею шлет запрос на сервер от своего имени юникастом, но при этом прекрасно отправляет тот же самый запрос который он получил (и уже срелеил!) обычным бродкастом в клиентском VLAN ... лечится это пока только 2-мя путями:
1. фильтрацией на агрегации в клиентском VLAN UDP портов 67 и 68 - на мой взгляд наиболее правильное решение решение, т.к. нервы экономит просто колоссально ...
2. использование DHCP Snooping на доступе - красивый, но оч. гиморойный вариант, т.к. диагностировать тяжело, выслушивать жалобы неприятно, да и вообще я считаю что это пока что клизма до тех пор пока не поправят DHCP Relay как таковой ... благо ждать осталось не долго ...

Давайте разберемся до конца!

Свитч получает DHCP-запрос броадкастом с определенного порта, потом отправляет его юникастом на DHCP-релей, после чего пакет бежит дальше на все порты этого свитча в этом же влане броадкастом.

Это известная мне проблема, которая сильно раздражает, т.к. заткнуть это с помощью ACL на порту, если включен IpMacBindingPort, больше не получается. "Лечу" на уровне агрегации каталистом, где возможно, но есть места, где D-Link'и на этажах соединены цепочкой. Там не получается!-(

А вот с ответом мне казалось проблем нет. Свитч получает ответ юникастом от dHCP-релея и отдает его в нужный порт, т.е. тут ничего по сети не бегает. Или все-таки бегает?

Именно так. Пробема только во втором пакете идущем Broadcast-ом в клиентском VLAN-е. Решение использовать IMP и с DHCP Snooping в том числе с выключенной опцией dhcppkt_forward. И это вообщем-то не костыль так как многие именно этого режима и хотели. Но как я и говорил позже мы попробуем вернуться к обсуждению возможности сделать это отдельно от этой функции.