Есть проблема, не могу решить, возможно кто-то уже столкнулся и есть ответы.

DES3526, fw 5.01-b60, 6.00-b23, 6.00-b26
настроено 2 VLAN - клиенты в дефолтном, управление отдельно. В управляющей сети поднят ISC DHCP сервер. Включены dhcp snooping (создает связки), dhcp relay (релеит запросы в управляющую сеть), dhcp local relay (давит лишние броадкасты).
Все вроде бы ничего на первый взгляд. При включении клиента идет запрос, получение, создается связка, все ОК. Если клиент по истечении lease time запросил продление адреса, оно проходит, время аренды в таблице обновляется. Далее приключения. Посылаем комп клиента в сон, потом будим. Проснувшийся комп запрашивает адрес, получает его, а в таблице коммутатора lease time не обновляется! Легко повторяется в linux: даем команду dhclient3 eth0. Все отлично, адрес получен, на коммутаторе не обновилось! Таймер продолжает тикать. Получается рассинхронизация времени аренды, которое имеет клиент и времени, которое в коммутаторе. И так как у клиента оно больше, то по истечении оного на коммутаторе адрес благополучно попадает в блок. Включение/выключение dhcp local relay дела никак не меняет, разве что при включенной опции широковещательные запросы не дублируются в сеть.

Разбор wireshark ом, клиент linux. (с виндой могу потом попробовать, но думаю, что все будет точно так же, симптомы абсолютно идентичные)

Правильный случай:
REQUEST от адреса клиента на адрес сервера. Коммутатор подхватывает, ретранслирует и отвечает сам. Все ОК. lease time свежее.

Неправильный случай:
REQUEST от адреса 0.0.0.0 на 255.255.255.255. Отвечает коммутатор. Клиенту адрес продляется, а на коммутаторе время прежнее.

Что не так? Подскажите

После ночи размышлений прихожу к другому варианту, взамен связок MAC-IP:

1. Включить DHCP RELAY, релеить запросы в управляющую сеть с option 82
2. Включить DHCP LOCAL RELAY (у меня цепочки коммутаторов, броадкасты лишние подавить)
3. В IP-MAC Binding Table все удалить
4. В IP-MAC Binding Port все поотключать
5. Создать два ACL профиля, один разрешающий, за ним запрещающий
6. В запрещающем запретить на всех портах любые IP
7. В разрешающий наваливать разрешенные на каждый порт IP адреса (прямо из биллинга, скриптом)
8. Не забыть еще создать правило, разрешающее DHCP пакеты от адреса 0.0.0.0 (или подсмотреть правила, которые DHCP snooping создает, наклепать такие же руками)
9. В Port Security разрешить учить по 3-4 MAC адреса

Вроде все. Коммутатор отдыхает, его проц свободен, для клиента ничего настраивать не надо, рулить ACL могу из биллинга (ну чуток поднапрягшись на скрипты), проблем с DHCP уже не будет. Проблему вижу только одну - ARP. Например, клиент может поставить вручную адрес шлюза себе. Но ведь проблема эта и в случае dhcp snooping актуальна. Как тут правильно бороться? Ну ладно, шлюз я занесу в ARP Spoofing Prevention, а друг от друга как клиентов защитить?

Покритикуйте, а то щас пойду скрипт клепать для биллинга. Может я чего упустил из виду.

Понятная ситуация. Я просто думаю что Вы в DHCP Snooping в команде config address_binding dhcp_snoop inactive_ageout_time [<hour 1-65535>|
dhcp_lease_time] не задали параметр inactive_ageout_time равный dhcp_lease_time]. Судя по описанию проблемы должно помочь.

хм.. не вводил такой команды. возможно задание этого параметра поможет.

Но теперь уже поздно. Реализую по 2-й схеме. Частично уже опробовал. Пока полет нормальный. Ненужное блочится, нужное пропускается. Результат практически такой же как с DHCP snooping, разница только в синхронизации ACL с биллингом, делаю тем же скриптом, что и генерацию таблицы для DHCP. Хоть буду уверен, что глюков не будет. Про inactive_ageout_time запишу себе на память, чтобы не забыть, если понадобится.

Рад слышать! Ваш вариант тоже приемлим.

Форум помогал мне этот уже. Помогу и я ему как-нибудь.
Пункт 8 оказался совершенно не нужен.

В серии DES-35XX именно так в вашем случае, поскольку у Вас включен DHCP Relay а он срабатывает раньше чем ACL.

А можете дать описание этого
config address_binding dhcp_snoop inactive_ageout_time [<hour 1-65535>|
dhcp_lease_time]
И с какой прошивки это работает

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

По сути это время нахождения записи в режиме inactive. Функция призвана как раз бороться с ситуациями когда Vista например после сохранению Lease Time в энергонезависимую память и включения через неопределённое время пытается обновить лизу при помощи Unicast request (что собственно не совсем по стандарту). Работает с прошивки версии 6.00-B22.

так время указывается в часах что неправильно. Нужно в секундах.

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Так Вы поставьте равное dhcp_lease_time и у Вас всё должно в этом плане нормально заработать.

После добавления config address_binding dhcp_snoop in dhcp

нигде в сохраненном конфиге не нашел указанных строк
# IPBIND
config address_binding ip_mac ports 1-24 state enable
config address_binding ip_mac ports 1-24 allow_zeroip enable
enable address_binding acl_mode
enable address_binding trap_log
enable address_binding dhcp_snoop
config address_binding dhcp_snoop max_entry ports 1-26 limit 5

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Прошивку нужно обновить до последней версии.

_________________
С уважением,
Бигаров Руслан.

Прошивка 6.00 - B25

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

В этой прошивке есть команда:
config address_binding dhcp_snoop inactive_ageout_time [<hour 1-65535>|
dhcp_lease_time]

_________________
С уважением,
Бигаров Руслан.