Настраиваю по вашей рекомендации
config address_binding dhcp_snoop max_entry ports 1-26 limit 5
config address_binding ip_mac ports 1-24 state enable loose allow_zeroip enable
enable address_binding dhcp_snoop
Вопрос что здесь "loose"- ?
Поиском не нашел

Лучше использовать опцию strict, что, в отличие от loose, позволит отбрасывать после анализа каждый первый новый ARP пакет не явлющийся валидным на заданном порту. loose - альтернативное strict значение.

Еще раз подробнее обясните что делает параметр loose при первом включении хоста на каком-нибудь из портов.Почему с ним блокируется порт ?

Уточните, пожалуйста, какой у Вас используется DHCP сервер. О каком коммутаторе идет речь и какая версия прошивки?

коммутатор des-3526 Boot PROM Version : Build 5.00.009
Firmware Version : Build 6.00.B11
Hardware Version : 3A1 ,
Работа этой опции зависит от dhcp сервера-?

Если DHCP сервер отвечает юникастом, то нужно использовать strict. У Вас со strict работает?

Вы можете мне просто объяснить как работают эти 2 параметра ,так сказать теорию .Мне не хочется в тупую ставить или то или другое, если работает то оставлять и забыть.Еще раз мне нужна суть.
Dhcp отдает через релей юникастом.

Ознакомьтесь, пожалуйста, с презентацией на нашем сайте: ftp://ftp.dlink.ru/pub/Trainings/D-Link_switches_and_network_technologies_Advanced.rar

Прочитал вот что написано "Strict – отбрасывание невалидных ARP пакетов с порта после анализа и блокировки. Может использоваться в любом режиме IMP. Альтернативное значение loose."
Так что же делает все таки LOOSE-? не понятно из этого описания

Это старый режим работы, когда проверка ARP-ов не осуществлялась.

_________________
С уважением,
Бигаров Руслан.

Вы опять ушли от прямого ответа ,что делает этот параметр .Мне рекомендовалось включение dhcp snooping именно с ним.

А объясните, что такое каждый ПЕРВЫЙ НОВЫЙ.
Какие ARP-пакеты не являются валидными? Который ARP Reply не с теми IP-MAC или ARP Request не с тем IP-MAC? Или оба?

Мне вот интересно, ответ-то будет?

В данном случаи речь идёт о DHCP-снупинге, поэтому скорее всего имеется ввиду что пакеты будут дропаться пока через свитч не пройдёт DHCP-reply подтверждающий lease "клиента". Соответственно на время аренды адреса, пакеты от данной пары ip-mac на этом порту будут считаться "валидными", а все остальные (предпологаю за исключением DHCP-Req.) не имеющие записи в IMPB - "инвалидными" )

не, это понятно. Забудем про DHCP Snooping. Пусть связка будет статическая и strict. В каком случае мак становится не валидным? Что тут подразумевается под первым новым arp пакетом?