пробовал написать правила для запрета всех левых PPPOE серверов

create access_profile profile_id 2 profile_name pppoe_yes ethernet ethernet_type source_mac ffffffffffff

config access_profile profile_id 2 add access_id auto_assign ethernet source_mac xx-xx-xx-xx-xx-xx ethernet_type 0x8863 port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ethernet source_mac xx-xx-xx-xx-xx-xx ethernet_type 0x8864 port 1-24 permit

create access_profile profile_id 3 profile_name pppoe_yes2 ethernet ethernet_type destination_mac ffffffffffff
config access_profile profile_id 3 add access_id auto_assign ethernet destination_mac xx-xx-xx-xx-xx-xx ethernet_type 0x8863 port 1-24 permit
config access_profile profile_id 3 add access_id auto_assign ethernet destination_mac xx-xx-xx-xx-xx-xx ethernet_type 0x8864 port 1-24 permit

create access_profile profile_id 5 profile_name zapret_pppoe ethernet ethernet_type
config access_profile profile_id 5 add access_id auto_assign ethernet ethernet_type 0x8863 port 1-24 deny
config access_profile profile_id 5 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-24 deny

как только применяются запрещающие правила, новые юзеры к серверу не могут подключиться, хотя у тех кто был подключен вроде бы связь не разрывает. Писал по аналогии с другими свичами, на кторых эти же правила работают нормально. Выбивает ошибку 678

Вот здесь посмотрите, пожалуйста, поподробнее и обратите внимание на порты, для которых правила применяются: http://dlink.ru/ru/faq/62/206.html
А вообще если Вам нужно именно PADO запретить на клиентских портах, то это делается при помощи PCF ACL.

ну так я на основе єтого примера и делал, на других комутаторах все работает, а тут нет, и я сходу не вижу разницы между примером и моими правилами, если откинуть прописывание аплинковских портов



я конечно подумаю и попробую псф написать, но не отказался бы от примера, так что если есть пример, то не откажусь от ссылки, а faq вроде не нашел

Есть ещё вопрос, не совсем понял принцип нумерации (и количества) правил. Больше 7 профилей не создает?

Поиск по форуму по слову "PADO" даст вам информацию по фильтрации нелегальных PPPoE серверов в сети.

ну я уже сказал что поищу, а вот все же почему не действуют мои правила? вроде ж по примеру сделаны

Укажите, пожалуйста, версию прошивки на коммутаторе.

Boot PROM Version : Build 2.00.003
Firmware Version : Build 2.00.008
Hardware Version : A1
Firmware Type : EI

так что с моим вопросом?

С каким вопросом? Вы документацию посмотрели, о которой Я Вам писал?
Не вижу у Вас подобного правила:

а это разве не оно?

Вы разницы совсем не замечаете?

прошу прощения, но кроме синтаксиса разницы не вижу, ещё номера access_profile profile_id разные, я ещё добавил имя для правила, использую auto_assign для access_id, а так все вроде тоже самое, так же создается правило для ethernet destination_mac и тип используется один и тот же ethernet_type
Если действительно есть разница кроме вышеперечисленного, то просьба, подскажите

У Вас правила с адресом назначения xx-xx-xx-xx-xx-xx, как я понимаю, это MAC адрес сервера, но где у Вас правило с destination_mac FF-FF-FF-FF-FF-FF, которое нужно для прохождения широковещательных пакетов для инициализации соединения?

а это разве не оно?
destination_mac xx-xx-xx-xx-xx-xx


FF-FF-FF-FF-FF-FF как я понимаю всего навсего маска для количества маков в вашем примере? потом при конфигурировании созданого правила вы мак тоже записали в виде destination_mac FF-FF-FF-FF-FF-FF? по идее все тоже самое

Давайте я на пальцах попытаюсь рассказать, как создаются access-list на коммутаторах D-Link.
Сначала вы создаете - !!!create!!! - профиль, в котором указываете маску для всех пакетов, которые будут описаны в правилах.
Затем вы в профиль добавляете - !!!config!!! - конкретные правила с конкретными адресами, на которые будет наложена маска из профиля.

Вы в своих правилах не добавляете правило для прохождения широковещательных пакетов. Вы создаете профиль, в котором говорите, что мак адрес пакета, который надо пропустить, должен точно соответствовать указанному в правиле (т.к. маска у профиля - ffffffff), но вы не добавляете правило, которое будет пропускать широковещательные пакеты, т.е. имеющие destination mac ffffffff.

Также рекомендую посимвольно сверить то, что написали вы с тем, что написано в FAQ и что предлагал вам Денис.