Типа этого не прийдется делать в случае не использования ACL
Вот смотри:
Дано прошивка 5.00.b13
ACL на коммутаторе никаких нет.
DHCP Snooping выключен
Включаем:
разрешаем клиенту с 1 порта с маком 000000000001 ходить на dhcp сервер по адресу 10.0.0.1
config filter dhcp_server add permit server_ip 10.0.0.1 client_mac 00-00-00-00-00-01 ports 1
Отрезаем все остальные запросы на 1 порту
config filter dhcp_server ports 1 state enable
теперь смотрим что у нас появилось в ACL, в конфиге это не отображается, но зато эти ACL создаются в памяти и успешно занимают место и я не могу поменять им id профиля
DES-3526:admin#show access_profile
Command: show access_profile
Access Profile Table
Access Profile ID : 1 Type : Packet Content
================================================================================
Owner : DHCP_filter
Masks :
Offset 16-31 : 0x00000000 00000000 00000000 0000ffff
Offset 32-47 : 0xffff0000 0000ffff 00000000 00000000
Offset 64-79 : 0x00000000 00000000 0000ffff ffffffff
Access ID: 1 Mode: Permit
Owner : DHCP_filter
Port : 1
----------------------------------------------------
Offset 16-31 : 0x00000000 00000000 00000000 00000a00
Offset 32-47 : 0x00010000 00000043 00000000 00000000
Offset 64-79 : 0x00000000 00000000 00000000 00000001
================================================================================
Access Profile ID : 2 Type : Packet Content
================================================================================
Owner : DHCP_filter
Masks :
Offset 32-47 : 0x00000000 0000ffff 00000000 00000000
Access ID: 1 Mode: Deny
Owner : DHCP_filter
Port : 1
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000
================================================================================
ACL Free: System : 798, Port 1-8 : 198, Port 9-16 : 200, Port 17-24: 200 Port 25 : 100, Port 26 : 100
Total Access Entries : 2
DES-3526:admin#
Спрашивается нафига мне такая реализация DHCP Snooping, если я эти ACL могу сам нарисовать собственно что и делаю уже последние полгода, это обычный пакет фильтр и которые при перетыкании порты или смены мака у клиента нужно переделывать... единственно что это проще теперь сделать, но скрипту пофиг.
А теперь хит сезона: если у меня есть правила ACL и в конце стоит правило запретить все, то при включении этой фигни у коммутатора по крайней мере в этой прошивке съезжают ACL и перестает отвечать, подозреваю что при включении через веб интерфейс (я оттуда пробовал) днсп снупинга он запоминает ACL на стороне клиента, грохает их все, и начинает создавать с конца а последним правилом стоит дени алл.
Вообще-то по-моему вы прсто путаете две функции DHCP Snooping связанный с IP-MAC-Port Binding и позволяющий лочить выданный динамически адрес на порту и DHCP Server Filter, которая действительно просто позволяет фильтровать DHCP сервера на клиентских портах.