Есть cisco 3400ME в качестве шлюза.
И цепочка коммутаторов D-link, последний из которых - DES-3028

На порт этого самого DES-3028 зловредный пользователь повесил криво настроенную циску (судя по маку F4-AC-C1-46...)
И моя циска тут же положила влан по stp.

На 3028 stp умолчательно выключен (звезда)

Что и как нужно фильтровать в данном случае?

Пользователь перенесен сейчас в отдельный влан, так что можно смело экспериментировать.
С самим пользователем связаться пока не удается.

Отключить STP на портах DES-3028 и перевести их в fbpdu disable

7 порт - это тот самый пользователь

# STP

disable stp
config stp version rstp
config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 3 fbpdu disable hellotime 2 lbd enable lbd_recover_timer 60
config stp priority 32768 instance_id 0
config stp mst_config_id name 00:21:91:91:BE:A6 revision_level 0
config stp trap new_root enable topo_change enable
config stp ports 1-6,8-28 externalCost auto edge false p2p auto state enable lbd disable
config stp mst_ports 1-28 instance_id 0 internalCost auto priority 128
config stp ports 1-6,8-28 fbpdu enable
config stp ports 1-28 restricted_role false
config stp ports 1-28 restricted_tcn false
config stp ports 7 externalCost auto edge false p2p auto state disable lbd disable
config stp ports 7 fbpdu disable

==========================

пока не помогает - влан лежит

А на Cisco MSTP настроено или PVST(+)?

spanning-tree mode rapid-pvst
spanning-tree extend system-id

Коммутаторы Dlink никак не реагируют и не блокируют PVST пакетики. Это проприетарный протокол, и DES-3028 не распознает его как STP.
Можете написать PCF ACL для блокировки уходящих от клиента пакетов. Почитать об этом можно в FAQ http://dlink.ru/ru/faq/62/954.html