Доброго дня!
Недавно столкнулся со следующей проблемкой:
Ранее настраивал листы доступа на свичах серии DES3200 по следующему принципу
1. На всех клиентских портах разрешал хождение PPPoE
config access_profile profile_id 1 add access_id 5 ethernet ethernet_type 0x8863 port 1-15 permit
config access_profile profile_id 1 add access_id 6 ethernet ethernet_type 0x8864 port 1-15 permit
2. На этих же портах разрешал Loopback
config access_profile profile_id 1 add access_id 7 ethernet ethernet_type 0x9000 port 1-15 permit
3. И последним правилом ставил запрет всех пакетов от любого MAC адреса
config access_profile profile_id 2 add access_id 8 ethernet source_mac 00-00-00-00-00-00 port 1-15 deny

На 3200 все отрабатывается нормально. PPPoE есть, все остальное (DHCP, IPv4 и пр.) на клиентских портах блокируется.

Сейчас попался DSG1210-20 Smart. Попробовал на нём создать ACL по тому же принципу, но если в ACL присутствует последнее правило запрета, то и PPPoE не работает. Если без него - то все работает.

В связи с чем вопрос: В чём различия логики работы в ACL между свичами 3200 и 1210 Smart? Как правильно настроить ACL на 1210?
Впечатление такое, что, либо он обрабатывает правила не последовательно, либо, не останавливаясь на разрешающих правилах, обрабатывает все до конца. Поэтому встречая запрещающее правило блокирует пакет даже если он проходит по предыдущим.

Может кто-либо может проверить у себя, как работают ACL на данной модели?

p.s.
коммутатор - DSG 1210-20 Web Smart Switch
H/V - B1
F/w - 3.11.B003

Я уточню ситуацию у разработчиков и отпишу, как будут новости.

Вопрос снимается.
Оказалось что модели 3200 принимают значение Ethernet Type в HEX, а 1220 в DEC. Поэтому получалось так, что указывал не тот тип пакета.

Вопрос вновь поднимается
Теперь проблема с настройкой ACL на свиче DES3200-10 H/V C1. Создал по выше описанному образцу правила на разрешения. Последним пытаюсь указать "блокировать всё от любого MAC адреса". При создании правила ACL в WEB интерфейсе написано - "Keep the input field blank to specify that the corresponding option does not matter", соответственно оставляю поле Source MAC пустым, вбиваю порты и нажимаю Apply. Свич ругается - пишет "Invalid ACL Rule.". Пока не укажешь что-нибудь в поле MAC, свич не принимает правило.
Что я опять мог упустить?

p.s.
свич DES3200-10
H/V C1
F/V 4.02.004

попробуйте указать в правиле Source MAC Address - все нули, Source MAC Address Mask - все нули.

Ставить все нули пробовал (хотя там английским по белому написано, что нужно оставить поле пустым). Тогда правило создаётся, но также перестают работать верхние Permit правила. На свичах той же модели но с H/V B1, работает с маком 00-00-00-00-00-00 корректно. Где-то секрет какой-то...

Нижние правила не влияют на верхние. Значит правила на разрешение некорректны. Если бы они срабатывали правильно, то правило запрета вообще бы не проверялось.

Вот сами правила. Так вот самое первое (пропускать VLAN 100) перестаёт работать при добавлении последнего. По поводу того, что некорректные правила. В первом правиле и ошибиться то негде. И более того, если (без последнего правила) я в первом указываю deny вместо permit, то VLAN 100 действительно перестаёт работать. Значит правило адекватно отрабатывается и не может быть некорректным.

create access_profile profile_id 1 profile_name VLANpermit ethernet vlan 0xFFF
config access_profile profile_id 1 add access_id 1 ethernet vlan_id 100 port 3,
9 permit
create access_profile profile_id 2 profile_name EthTypePermit ethernet ethernet_
type
config access_profile profile_id 2 add access_id 10 ethernet ethernet_type 0x886
3 port 3,9 permit
config access_profile profile_id 2 add access_id 11 ethernet ethernet_type 0x886
4 port 3,9 permit
config access_profile profile_id 2 add access_id 12 ethernet ethernet_type 0x900
0 port 3,9 permit
create access_profile profile_id 3 profile_name MACDeny ethernet source_mac 00-0
0-00-00-00-00
config access_profile profile_id 3 add access_id 30 ethernet source_mac 00-00-00-
00-00-00 port 3,9 deny

зачем вы делаете несколько профилей? попробуйте так
create access_profile profile_id 3 profile_name all ethernet vlan 0xFFF source_mac 00-00-00-00-00-00 ethernet_type
config access_profile profile_id 3 add access_id 1 ethernet vlan_id 100 port 3,9 permit
config access_profile profile_id 3 add access_id 10 ethernet ethernet_type 0x8863 port 3,9 permit
config access_profile profile_id 3 add access_id 11 ethernet ethernet_type 0x8864 port 3,9 permit
config access_profile profile_id 3 add access_id 12 ethernet ethernet_type 0x9000 port 3,9 permit
config access_profile profile_id 3 add access_id 30 ethernet source_mac 00-00-00-00-00-00 port 3,9 deny

Вопрос вновь закрывается
Очередной прыжок на грабли незнания... Оказывается рефизия C обрабатывает профайлы параллельно.
А профайлов столько, потому-то в серии 3200 (но другой ревизии) всегда делал подобным образом и там все работало...

Насколько я знаю, вернули старое поведение.

У вас просто фирмварь стоковая, обновитесь

Да, на последней прошивке профили обрабатываются как надо, сверху вниз.
https://cloud.dlink.ru/owcl/public.php? ... 7&download