Bridge vlan

Mstp

И соответственно и dot1x

MSTP да, не хватает

И аппаратный bonding тоже в crs3xx

Ещё dhcp snooping - не уверен был ли аппаратно на crs1xx/2xx

Но реальных доводов против использования 1xx/2xx в сценариях, где его достаточно, как я понимаю, пока нет?

А мои не доводы? То что развития на них не будет. Новые фичи не поддерживают. Смысл покупать?

Сейчас все сводят в единую концепцию bridge-vlan - и на свичах и на роутерах.

Crs1xx/2xx рабочие лошадки, но новых фич там не будет.

На 3хх снупинг как-то неоднозначно по виду  разгружается. Динамическое правило создается на свитче, но с экшен=редикерт-ту-цпу...
Настораживает. )

Дык раньше проверки не было) раньше фильтруй руками.

Раньше и igmp тоже фильтрами

Да, но редирект на цпу и аппаратная разгрузка как-то логически не вяжутся. Или это паранойя?

Мякотка не в оффлоаде

А в том, что включение опции не разваливает аппаратную коммутацию

@Soriel  В дополнение "неаппаратности":
Если создать портсекьюрити средствами свитччипа, а потом включить дхцп-снупинг, то динамическое правило для редиректа добавляется в начало. По итогу хосты, попадая в условия динамического правила получают адреса с дхцп-сервера, даже если на них распространяется правило дропа портсекьюрити. Чтобы этого избежать надо правило снупинга руками двигать вниз. Что, как по мне, странно.

Ага - нужно писать в support

NOTES:
1 Feature will not work properly in VLAN switching setups, you must make sure that required packet are sent out with the correct VLAN tag using ACL rules.
2 DCHP Snooping will not work properly with VLAN switching

Это по поводу crs1xx/crs2xx