Есть коммутатор DES-3200-28F, к нему к портам 1-24 подключены клиенты, а к портам 25-28 несколько шлюзов.

Заполняю ARP Spoofing Prevention вводя туда IP-MAC шлюзов и номера портов, к которым подключены шлюзы.

Создается профиль ACL и в нем два правила Permit и Deny.

Вопрос: Почему в правиле Permit и Deny порты указаны одинаковые? Такое правило не будет работать вообще на клиентских портах, а нужно чтобы на них оно и работало, а пара MAC-IP шлюза была разрешена только на порту, к которому подключен шлюз, и все ARP с IP шлюза на клиентских портах блокировались. Совершенно логично что со стороны порта шлюза клиентов нет, а есть только шлюз и MAC адрес там только шлюзовой.

Логично было бы Permit делать на тех портах, к которым подключены шлюзы, а Deny делать на всех остальных.

Какая логика заложена в такое автоматическое создание правил?

Подскажите правила для следующей комбинации:
Шлюз с IP 192.168.10.1 и MAC 00-1D-BA-87-4B-81 подключен к порту 28.
К остальным портам подключены клиенты.
Значит на порту 28 пара IP-MAC разрешена, а на портах 1-27 запрещен ARP 0х806 с IP 192.168.10.1.

Создавал правила вручную, беря за пример правило автоматически создаваемое при включении ARP Spoofing Prevention. Не работает.