Получаем UDP-флуд от одного из вышестоящих операторов, захотелось отфильтровать с помощью ACL (понятное дело, нагрузку на канал это не снимет).
Пакеты приходят на случайные порты с разных IP-ов, но структура и размер (1263 байта) одни и те же: с 42-го байта в пакете есть слово "flood." а затем нули до самого конца пакета.

Пробовал так:
create access_profile profile_id 1 packet_content_mask offset_chunk_1 11 0x00ffffff
config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x666C6F port 24 deny

И так:
create access_profile profile_id 1 packet_content_mask offset_chunk_1 11 0x00FFFFFF
config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x00666C6F port 24 deny

И, найдя в одной статье, что при проходе через коммутатор любого пакета, добавляется поле для вилана, попробовал соседний chunk:
create access_profile profile_id 1 packet_content_mask offset_chunk_1 12 0x00ffffff
config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x666C6F port 24 deny

Увы, не срабатывает, sh err ports срабатывания ACL не показывает.

Подскажите, пожалуйста, правильный вариант ACL, скрин пакета во вложении.

Имхо маска неправильная для 11-го чанка. Согласно таблице это байты 42, 43, 44 и 45. Это как раз 0x666C6F6F

И для проверки срабатывания лучше воспользоваться "permit counter".

Должно получиться как то так:

Правда у меня не на чем проверить.

P.S. Ну и правило должно стоять на входе. Аплинк 24-й?

_________________
D-Link Switches: Tips & Tricks

Да, конечно.


Заработало, спасибо! Куча дропов теперь по ACL. Правда, как уже и говорил, от заполнения канала мусорными пакетами это не помогло.