Во время переписывания ACL на ACL PCF для DES-3200 столкнулся с ситуацией.
Простой упрощенный ACL:

т.е. запрещаю ARP от 172.20.0.0/16.
Если включен IMPB Strict ACL на первом порту, то такой ACL ничего не блокирует.

Я конечно понимаю, что в реальности у меня подобный по сути ACL будет разрешающим, но хочется разобраться в сути работы IMPB в режиме ACL совместно с ACL (и с ACL PCF в частности). Есть полный список нюансов их совместной работы?
Я знаю, что IMPB ACL имеют "приоритет" над ACL. В чем он (приоритет) проявляется? И как в таком случае решить задачу — разрешить ARP от определенных сетей и заблокировать весь остальной ARP?

Можно получить какие-то комментарии?
Такое поведение (неработоспособность ACL при использовании IMPB ACL) является нормальным?
Такое поведение касается абсолютно всех ACL?
Есть какие-то пути решения задачи, описанной в первом сообщении, без отключения IMPB ACL?

Уточните, пожалуйста, с какой целью нужно дополнительно блокировать ARP, если он итак будет заблокирован у клиентов, для которых нет связки.
Приведите, пожалуйста, полные настройки в плане IMPB с указанием того, используется ли DHCP Snooping.

Пожалуй с такого ракурса, что цели, равно как и смысла, я в такой ситуации не вижу.
Но есть вопрос.
Получается, что логику работы ACL в условиях использования DHCP Snooping IMPB ACL Strict, нужно строить исходя из того, что разрешен трафик от определенной связки (MAC, IP, Port), а все остальное уже запрещено IMPB.
Иначе говоря сеть надо защищать от того, что может прийти от клиента, для которого создана связка на свитче?
Как в таком случае будут работать правила ACL? Ведь трафик уже как бы попал под одно правило, созданное DHCP Snooping IMPB.

Да, но правила созданные функционалом IMPB считаются системными и являются более приоритетными, чем те, что созданы пользователем, поэтому последние работать не будут в случае если они пересекаются с системными.