Добрый день. Раньше использовались 3552/3526, но в связи с обновлением парка появились такие звери. Не могу сообразить по поводу offset_chunk.

Задача 1 :
Блокировка ARP-пакетов от абонента, содержащих в поле отправителя ip-адрес, содержащий в последнем октете 1 (шлюз)
Блокировка ARP-пакетов от абонента, содержащих в поле отправителя ip-адрес, содержащий в последнем октете 200 (днс)
Раньше было так:

Задача 2:
Блокировка IP-броадкаст трафика от клиентов на адреса 255.255.255.255
Раньше было так:

0x00000007 - это vlan абонентов.
Подскажите пожалуйста, как сделать то же самое, но с chunk'ами

Спасибо за "ответ", эта ссылка у меня была открыта и до вашего поста. Понимаю, что новичков нигде не любят. Что ж, значит буду выкладывать свои рассуждения.
За задачу 1 пока совсем понять не могу.

Задача 2 видится мне так:
arp-протокол - чанк 3, 0xffff
vlan в 14-15 байтах, то есть в 4 чанке. 0xffff0000
Ip получателя находится в 30-33 байтах, то есть целиком в 8 чанке. 0xffffffff

значит профиль пишется примерно так:

само правило:


Правильно, нет?

Профиль написан верно, и рассуждения верны. А вот само правило - неверно. Если вам необходимо указать конкретный vlan или ip адрес - вам и нужно его описывать в правиле, а не вписывать туда ffff. Логика работы та же что и с PCF на других моделях - просто указание офсетов ведется немного иначе, и все.
Посмотрите еще вот эту тему:
viewtopic.php?f=2&t=145939

А как по-вашему выглядит широковещательный адрес 255.255.255.255, если не FFFFFFFF?

Все же правило мне видится так:

0x800 - IP протокол
0x70000 - 7ой влан
ffffffff - 255.255.255.255
Напомню, что задача 2 - блокировка ip-броадкаст трафика от клиентов на 255.255.255.255

Задачу 1 вижу так:

чанк 7 - адрес отправителя
0x806 - arp
0x70000 - vlan 7
1,c8 => 1 и 200

Поправьте пожалуйста, если неправильно.

Пакетики приходят на коммутатор тегированными или нет? На данной серии это принципиально.

С портов абонентов пакеты нетегированные естественно. А коммутаторы тегироваными портами соединены. Все абоненты в одном влане под номером 7. Или я не так понял Ваш вопрос? Суть в чем. Были коммутаторы 3550, проработали 5 лет, оба сгорели с разницей в 2 дня (верней вероятно что-то с питанием, циклично мигают все индикаторы). Взамен взяли 3552. 3550 настраивали до меня, но изучая бэкапы конфигов, вижу, что есть свод правил, которые мне и нужно перенести на 3552. Часть подошла, а часть - с PCF- нет. Я привел вырезки кода из старых конфигов, мне нужно создать такие же правила на 3552.

Еще возник вопрос. Больше одного профиля с Packet Content Filtering не создается, ругается, что можно создать только 1. А на 3550 было 3 профиля. Это регресс нового оборудования получается?

На DES-3552 только один PCF профиль, это аппаратное ограничение.
Что касается исходных правил:

Как видно анализируется номер влана, но Вы говорите, что правила будут распространяться на untag трафик. Поэтому я и хочу уточнить есть ли смысл указывать ID влана в самом правиле?

Я о том же задумался. Получается, 5 лет правила формально были, но не работали

Да нет, правила должны были работать. На DES-3528/52 немного другая логика, если трафик приходит как untag, то не нужно учитывать смещение в 4-ре байта. Итог будет таким:

P.S. Что касается второй задачи: "Блокировка IP-броадкаст трафика от клиентов на адреса 255.255.255.255", то она решается IP профилем, PCF не нужен:

Спасибо за помощь

Не за что.