Необходимо запустить сеть на IPoE без привязки к абонентскому железу (МАС клиента).
Т.е. "подключил любую железку - вышел в Интернет".
Схема сети "от абонента":
абонент -- порт DES-3200-XX(vlan на свитч) -- DGS-3420-XX(DHCP relay) --- DHCP сервер(opt 82 выдача IP по номеру порта DES-3200).

От подмены IP защитил с помощью dhcp snooping ip-mac-binding на DES-3200, а вот как решить проблему подмены/дубликатов MAC?
Например, некий абонент установил у себя роутер и зачем-то сделал в нём клон МАС компьютера.
Всё работает, все довольны. Через некоторое время, этот абонент продает комп своему соседу (в интерпретации провайдера - "в соседний порт").
Клон МАС в роутере не удаляет. Зачем? И так работает.
Что имеем в итоге? Ещё не проверял, но предполагаю, что DHCP сервер "бездумно" выдаст обоим "легальные IP",
т.к. пара "MAC DES-3200-порт" впишутся в критерий выдачи IP.
Но работать не будет у обоих (если включатся оба одновременно), т.к. DGS-3420 "заблудится" в ARP таблице..

Решаемо? Если "да", то каким образом, или без привязки к МАС в данной схеме не обойтись?

У вас ip адреса выдаются по opt82 в пакете, выдадутся разные ip адреса. Если impb roaming отключен - тот, кто вторым попытается получить адрес, заблокируется коммутатором.
По жалобе абонента и двухминутному анализу лога dhcp сервера и fdb коммутатора поймете, что у них - внезапно! - одинаковые мак адреса на соседних портах, поправите по телефону или с помощью монтажника.
Не выдумывайте себе лишних проблем.

Этим "вторым" легко может стать и "первый", который "главный" владелец МАС-а.

Всё оно так, согласен. Но.. Как всегда, это пресловутое "НО"..
Сеть я только строю, обслуживать на месте будут другие, с квалификацией, которая не позволит "шариться" по логам/коммутаторам и искать в них чёрную кошку.
А плевки в себя любимого получать не очень приятно как-то..
Вот и хочется подстелить соломку..
Подводя итог, как я понимаю, необходимого функционала для АВТОМАТИЧЕСКОГО решения проблемы не существует.
Т.е. либо менять дизайн/железо сети, либо писать доп. костыли для ТП..

Я правильно понимаю, что если в address_bindind "Trap/Log : Enabled",
то при появлении дубликата МАС, должен придти трап, и в логе будет соотв. запись, даже при "Roaming state : Disabled"?
И где бы увидеть OID этого трапа?

Делайте РРРоЕ.

Я от него пытаюсь уйти..

Тогда зачем закупали оборудование для него?)) У вас семь пятниц на неделе? Для чего закупали, то и делайте. Или не трахайте себе мозг "дубликатами" и делайте ипое, как вам писали тут и на наге.

А по теме есть что сказать?
Про трапы, например. Или только на пофлудить зашли?

Сконфигурил вот так:
При подключении роутера с клоном уже активного на другом порту МАС, у "легального" клиента, можно сказать, ничего не изменяется.
"Нелегал" только получает ИП и всё. Доступа в сеть нет.
Т.е. всё, что необходимо. Но в логе записи нет и трап о "нарушителе" не приходит.
А хотелось бы. Предполагал использовать трап для извещения оператора ТП.
Для каких событий срабатывает Trap/Log? Или это действует только при активном roaming?
Может быть для моего случая необходимо ещё и arp_inspection strict?

По теме вам тут (и не только) уже говорили. Вы читать умеете? Или потролить зашли?

делайте vlan на абонента, это решит проблему на 100%