Имеется коммутатор DGS-3120-24SC
Device Type : DGS-3120-24SC Gigabit Ethernet Switch
Boot PROM Version : Build 2.00.003
Firmware Version : Build 3.02.R013
Hardware Version : A2
Firmware Type : EI

настроили на DGS-3120-24SC профили и правила
create access_profile profile_id 1 profile_name test_access ethernet source_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 1 add access_id 1 ethernet source_mac D4:CA:6D:77:47:B9 port 18 permit
config access_profile profile_id 1 add access_id 2 ethernet source_mac 00:0B:CD:D1:72:B0 port 18 permit
config access_profile profile_id 1 add access_id 3 ethernet source_mac 00:15:17:CA:85:90 port 18 permit
config access_profile profile_id 1 add access_id 4 ethernet source_mac 68:86:A7:49:54:C0 port 18 permit
config access_profile profile_id 1 add access_id 5 ethernet source_mac D4:CA:6D:84:FB:9F port 18 permit

create access_profile profile_id 2 profile_name test_drop ethernet source_mac 00-00-00-00-00-00
config access_profile profile_id 2 add access_id 1 ethernet source_mac 00:00:00:00:00:00 port 18 deny

проверяем на удаленном коммутаторе таблицу маков и видим картину
DES-1228/ME:5#show fdb vlan test port 25
Command: show fdb vlan test port 25

VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
189 test 00-02-FC-44-2B-E1 25 Dynamic
189 test 00-0B-CD-D1-72-B0 25 Dynamic
189 test 00-15-17-CA-85-90 25 Dynamic
189 test 00-27-22-5E-33-5E 25 Dynamic
189 test 04-18-D6-26-1E-FF 25 Dynamic
189 test 10-FE-ED-68-44-B9 25 Dynamic
189 test 1C-7E-E5-81-C2-00 25 Dynamic
189 test D4-CA-6D-77-47-B9 25 Dynamic
189 test D4-CA-6D-84-FB-9F 25 Dynamic

Total Entries : 9

Адреса, выделенные красным, не должны были появиться на другом коммутаторе, т.к. они не добавлены в разрешенные на 3120. Как так?

Это могли быть пакетики, попадающие на обработку CPU коммутатора. Всякие там IGMP query и т.п. В этом случае стандартные ACL не отработают. Попробуйте заблокировать адреса еще и CPU ACL. А вообще, для ограничение MAC адресов есть другой функционал, вроде как IMPB.

_________________
D-Link Switches: Tips & Tricks

настроили portsec, но все же хотелось, чтобы на ACL это отрабатывало, т.к. ранее всегда считалось, что ACL работали железобетонно - включил и работает

Так они и отрабатывают. Это пролетают случайные специфичные кадры. Остальной трафик на 99.99% заблокирован.
Это такая фича железок. То, что предназначено коммутатору средствами самого коммутатора зафильтровать нельзя.

_________________
D-Link Switches: Tips & Tricks

т.е. можно оставлять как есть и не переживать?

Влан транзитный, ничего там коммутатору не предназначается, ни капли. Коммутатор должен быть трубой с задвижкой, а не избирательным фильтром. АЦЛ отрабатывают вероятно позже перехвата трафика для ЦПУ, и это на самом деле не нормально, просто все приняли это как данность и смирились. Надо только описывать такие known issues в доке, иначе возникают постоянно "странности".

PS. Оно ведь это пропускает дальше по сети, где-то могут быть коллизии хеша из-за этого, dlink должен задуматься о решении этого вопроса.