Pokud je funkční HW offload tak filtry zcela pochopitelně nefiltrují, protože jsou nasazené v CPUčku a provoz tamtudy jaksi neprochází. A pokud by tam provoz čirou náhodou procházel, chcípne to CRS na CPUčko při pár desítkách Mbps.
Na každém normálním switchi bych to řešil zapnuzím DHCP snoopingu?
...
ip dhcp snooping vlan 100 150
ip dhcp snooping
!
interface FastEthernet0/13
description client_XXXX
switchport access vlan 100
switchport mode access
ip dhcp snooping limit rate 20
!
interface GigabitEthernet0/24
description uplink
switchport trunk pruning vlan 3-1001
switchport mode trunk
ip dhcp snooping trust