Проблема решена, суть:

Сначала устаналиваются все профили ACL, затем включается IMB, и всё работает. Это относится только к работе IMP в режиме ACL.

Спасибо огромное terrible за помощь!!!
Написали-таки правила и заставили их работать.

До этого у меня ни одно ACL не работало.
Все дело было в MAC-IP-Binding.
Все создаваемые правила должны иметь номера меньше чем правила MAC-IP-Binding, иначе они не будут действовать.
Для этого отключем режим ACL для MAC-IP-Binding.
Пишем правила, потом включем обратно ражим ACL.

А правила получились вот такие.
create access_profile ip udp dst_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp dst_port 67 port 8 permit
тут разрешаем DHCP

create access_profile ip destination_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip destination_ip 192.168.0.200 port 8 permit
config access_profile profile_id 2 add access_id 2 ip destination_ip 192.168.0.31 port 8 permit
config access_profile profile_id 2 add access_id 3 ip destination_ip 192.168.0.74 port 8 permit
тут разрешаем с порта видеть интернет сервер и админские компы

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 3
config access_profile profile_id 3 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 8 deny
тут запрещаем бродкаст

create access_profile ip destination_ip_mask 255.255.0.0 profile_id 4
config access_profile profile_id 4 add access_id 1 ip destination_ip 192.168.0.0 port 8 deny
тут запрещаем с порта видеть другие машины сети

Вы не поверите, но в презентации выложенной на FTP этот момент описан еще ХЗ когда ...

_________________
с уважением, БП

еще бы где было упоминание на эту презентацию на сайте.

незачем, т.к. их используют в основном трейнингах ... лучше слейте себе директорию с трейнингами и поизучайте, думаю что найдете для себя очень много интересного

_________________
с уважением, БП

Ну дайте ссылочку если не жалко.
А то сколько не говори халва, халва, а слаще не станет.

а толку то? я уже дал ссылку (тыкаем в "директорию с трейнингами"), вот только видать надо дать не только точную ссылку на сылку на файл, но и указать номер слайда ...

_________________
с уважением, БП

2 Akor > В вашем случае лучше использовать VLAN per Switch, т.е. пробрасывать один клиентский VLAN до коммутатора, далее на коммутаторе настроить Traffic Segmentation, Trusted Host/Trusted Subnet, IMPB и с помощью ALC заблокировать некоторый нежелательный трафик.

_________________
С уважением,
Бигаров Руслан.

Ну тут уж ничем не поможешь... телекоммуникационное оборудование не игрушка, голова на плечах должна быть.