Стек из dgs3312sr и 6 DES-3226S. Версия прошивки dgs3312sr: 3.60-S21
DES-3226S:
Был добавлен следующий acl
create access_profile ethernet source_mac 00-22-64-16-CC-A4 port 3:3 profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-22-64-16-CC-A4 deny

Т.е. по логике на 3 порту 3-го юнита запрещается трафик с 00-22-64-16-CC-A4 mac адреса.
Однако с этого мак адреса трафик перестает идти на все порты юнитов в стеке, кроме самого dgs3312sr. Удаляю acl эффект тот же.
Создаю новый профиль
create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 1

Все начинает работать.
Удаляю профиль, все работает. Пробую добавить профиль вида:
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF port 3:3 profile_id 1
Тут же происходит затык на том же mac адресе.
Что тут можно сделать ?

Объясните, пожалуйста, подробнее саму решаемую задачу. Указанным правилом Вы запретили все пакеты с MAC-адресом источника 00-22-64-16-CC-A4 входящие в 3 порт.

Тут дело даже не в задаче. Просто проверял работу acl.
Сама задача состоит в том чтобы пропустить трафик на определенный порт с одного mac адреса и запретить с остальных.
Я так понимаю решается это следующим образом:
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF port 3:3 profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-22-64-16-CC-A4 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 port 3:3 profile_id 2
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-00-00-00-00-00 deny

Но как только я ввожу create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF port 3:3 profile_id 1
тут же перестает идти трафик с адреса 00-22-64-16-CC-A4 на все порты юнитов в стеке. Вот это мне непонятно

MAC 00-22-64-16-CC-A4 у Вас на каком порту находится?

И еще у Вас ошибка, должно быть:
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF port 3:3 profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-22-64-16-CC-A4 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 port 3:3 profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-00-00-00-00-00 deny

опечатался немного конечно profile_id 2.
mac 00-22-64-16-CC-A4 находится вообще на другом коммутаторе (cisco 2960).

ACL действуют только на входящий в порт трафик, поэтому такая система не будет работать. Вам нужно пересмотреть задачу с учетом этой информации, поэтому я и просил Вас изложить ее более подробно.

Излагаю задачу подробней:Локальная сеть, есть стек коммутаторов на базе dgs3312sr и des2236, а также несколько коммутаторов cisco2960. Нужно создать правило чтобы определенный порт в стеке принимал трафик только с одного mac адреса, а трафик с других адресов блокировал. Вот и все.

Тут проблема то больше в другом. Я создал acl допустим она даже неправильная, но ведь после удаления этой acl , все должно вернуться в первоначальное состояние, а этого не происходит.

Правило нужно вешать на тот порт, куда непосредственно приходит анализируемый трафик, в Вашем случае Вы можете разрешить наоборот ответы на нужный destination MAC а на остальные запретить.


Нужно в первую очередь удалить именно все запрещающие правила, под которые может попадать анализируемый трафик.