на всех портах адресбиндинг модэ стрикт
рабочие адреса 172.х.х.х
незарегистрированные 10.х.х.х

зарегестрированые привязаны на порту, и доступ имеют строго по связке мак+ip+порт
поскольку незарегистрированные к маку не привязаны они могут меняться, и доступа воооообще никакого нет.
поэтому добавляем пул адресов на все порты.

тогда с незарегестрированного получаем доступ на сайт для регистрации и регистрируем.

О какой регистрации идет речь? Зачем клиенту менять себе IP адрес, регистрироваться и затем снова менять себе IP адрес?
Не легче ли DHCP Snooping использовать?

это новый клиент, неужели сразу не ясно, у которого ещё не было регистрации никогда, и ему надо её как то получить, чтобы работать, для этого раздаётся сетка общая ограниченного доступа.

Нужно делать авторизацию на основе DHCP Snooping, если у Вас адрес выдается клиенту по DHCP, а не такую заплатку использовать. Для DES-3200 сейчас очень много запросов, если и этот функционал запросить, то скоро его все равно не реализуют.

если имеется ввиду опция 82, да используется, но включение привязок срабатывает после регистрации, а если клиент сменил рабочее место/квартиру/локацию, то привязка автоматически не переедит. следовательно порт незащищён.

имеея возможность добавления пула для нерегистрированных адресов, мы можем выставить mode strict на всех портах изначально, и закрыть случайных эмигрантов.

p.s. подскажите где умолять, чтобы данный запрос добавили?! функционал то сам по себе пустяковый.
время не имеет значения (с)

Если клиент сменил адрес, по которому ему предоставляется услуга, то он не уведомляет Вас о этом?
Не вижу целесообразности использовать именно Permit IP Pool, если клиенту можно выдать IP по DHCP без привязки к Option 82 из другого пула, нежели для авторизованных абонентов.
P.S. Необходимость добавления функционала Вы можете обсудить в региональном офисе D-Link.

пул и так другой.
без привязки к опции 82? имеете ввиду gvrp?
не совсем понял.

привязка как раз делается по информации опции 82,
но если привязка устарела и на порту новый клиент, привязка действительна для старого, а доступ новый клиент для регистрации получить не может, тажа проблема и с регистрацией просто новой сетевой.

Если у Вас итак два разных пула, выдаваемых по DHCP, то почему Вам не поможет DHCP Snooping?

А новый клиент почему не может получить IP по DHCP и что изменится, если на этом этапе будет работать Permit IP Pool?

помогает. не хватает permit ip pool для работы всех портов в режиме strict



может получить, и получает, но доступа ни на какие ресурсы у клиента нет. поскольку в режиме strict клиент на порту сразу блокируется. функционал permit ip pool позволяет добавить необходимый диапазон ip адресов обходя режим strict.

пример с des-3526
Command: show address_binding permit_ip_pool

Start IP End IP Ports
--------------- --------------- ---------------------
10.10.0.0 10.10.255.255 1-26
169.254.0.0 169.254.255.255 1-26

Total entries : 2

Если на коммутаторе есть связка для клиента, созданная функционалом DHCP Snooping, то он должен работать вне зависимости от того loose или strict режим у Вас используется. Какая прошивка у Вас используется на коммутаторах? Вы прошивки 1.52 пробовали, в которых реализован IMPB версии 3.8?
P.S. IP адреса из подсети 169.254.0.0 берет себе сама OC в случае, если клиент не смог получить адрес по DHCP.

вы меня не слушаете, либо утеряли суть темы.

поэтому подсеть 169.254.0.0 и добавлена в permit ip pool на 3526, потому что для перезапроса ip нужен либо zero ip либо адрес из пула и именно поэтому добавлен ещё один пул 10.10.0.0, чтобы можно было выйти со свитча клиенту не имея привязки как раз для регистрации! и да! 1.52 пробовали. на них в отличии от 3526 можно перезапросить ip с подсети 169,254,0,0

На самом деле я к этому и веду: так значит прошивка 1.52 решает описанную Вами проблему?!

нет, мне нужно добавить диапозон 10.10.х.х, а пермит пула нет.

Суммируя Ваши ответы получается, что на прошивке 1.52 не понятна цель использования Permit IP Pool.
На старой прошивке загвоздка в том, что клиент получает нужный IP, но доступа у него нет:

на новой прошивке:

Клиент может получить IP, значит при использовании DHCP Snooping для него создается связка на коммутаторе и Permit IP Pool ему уже не нужен.

dhcp snooping нет, не используется.