У меня на прошивке 2.90.B07 вот такое правило блокирует untag ARP трафик, приходящий с 1-го порта:

Так что нет смысла использовать другие прошивки. Не забывайте, что ACL действуют только на входящий в порт трафик.

Можно ли на 3028/3200 при составлении PCF ACL оперировать не байтами, а битами, используя маску не 0xFF, а, к примеру, 0x11 или 0xFA?

_________________
D-Link Switches: Tips & Tricks

Да, можно.

Собственно, хотелось бы еще раз вернуться к теме.
3028/E, Build 2.90.B09.
Задаю следующую конструкцию:
create access_profile ethernet source_mac 00-00-00-00-00-00 destination_mac 00-00-00-00-00-00 profile_id 3
config access_profile profile_id 3 add access_id 1 ethernet source_mac 00-00-00-00-00-00 destination_mac 00-00-00-00-00-00 port 1 deny
create access_profile ip source_ip 0.0.0.0 destination_ip 0.0.0.0 profile_id 4
config access_profile profile_id 4 add access_id 1 source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1 deny
Т.е. по логике весь трафик должен блокироваться на порту 1. Втыкает комп - ух ты... действительно пинги не проходят.
Перетыкаем комп в порт 2 - пинги пошли. Перетыкаем обратно в порт 1 - батюшки... пинги идут.
Как же так! Чуровское волшебство, не иначе! Режет пакеты на 146%!!!
Кроме шуток. Может я не доглядел чего? Но есть ощущение, что кроме ARP ничего и не режется. Пробовал кстати фильтрануть и через PCF по Ethertype 0x0800 (IP) - не фильтрует.

[myaso]ed
Вы пингуете интерфейс коммутатора?
Указанные вами правила будут действовать на трафик, не предназначенный самому коммутатору.

Да, пинговал коммутатор.
Буду знать, что это не баг, а фича.
Благодарю за инфу.

не за что.
Для фильтрации трафика к cpu используйте cpu acl