Добрый день.

Основная задача - запретить PPPoE PADO пакеты. Для того чтобы легальные терминаторы не отвечали.
Есть два условия:
1) Терминатор, который отвечает в default VLAN.
2) Терминатор, который отвечает в разных VLAN (номера различные).

То есть, есть два типа пакетов с тэгом (с смещением на VLAN) и без тэга.

Разобрали пакеты, нарисовали маски. Проверили по отдельности - работает.

Без тэга:

С тэгом:

Требуется чтобы конструкции работали вместе. Но, при добавлении профиля 3, после второго сообщает:


Аппаратное ограничение? Как же тогда? Маски сильно отличаются от смешения 802.1q.

Можно проанонсировать офсеты в одном профиле, а в правилах уже выбирать по нужным.

_________________
С уважением,
Бигаров Руслан.

Но при создании общей маски, в нетагированом пакете 15 байт означает 0x07 (0x07 PADO), а тагированом это номер VLAN. То есть в общем профиле, получится что нужно писать правило на каждый влан (их много) или не ловить общий.

Может как-то можно написать профиль, который бы, пропустил нужные байты, если задать общую маску (все чанки 0xFFFFFFFF).

С тегом:

15 байт - 0x69 - 150 VLAN
16 - 17 байт - PPPoE Discovery - 0x8863
19 байт - PADO 0x07

Без тега:


12 - 13 байт - PPPoE Discovery - 0x8863
15 байт - PADO 0x07

Как уже писал Руслан нужно создать профиль со всеми chunk, которые могут быть задействованы. А непосредственно в правиле можно некоторые из них просто не использовать, то есть например сразу указать offset_chunk_2 при этом первый chunk пропустить.