смысл.
Запретить определенный mac на определенном порту.
вот для 3526
разрешает
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1
config access_profile profile_id 1 add access_id auto ethernet source_mac нужный_мак port № permit

зарещает
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 2
config access_profile profile_id 2 add access_id auto ethernet source_mac любой_мак port № deny

а как для 3100-24

вариант

create access_profile profile_id 2 ethernet source_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-E0-52-99-**-** port 2-24 deny

но как-то странно ведет себя

вот оно самое
create access_profile profile_id 2 ethernet source_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-E0-52-99-**-** port 26 deny

как сделать такое же для 1210-28

Примерно вот так:

Вот еще вопрос.

Задача: Разрешить на порту 5 коммутатора DES-1210-28 прохождение трафика от компьютера с IP-адресом 192.168.*.*/16 и запретить всем остальным. При этом MAC-адрес компьютера не должен контролироваться.

Вот что получилость. для 1210-28

# Разрешить IP адреса
create access_profile profile_id 7 ip protocol_id_mask 0xFF source_ip_mask 255.255.0.0
config access_profile profile_id 7 add access_id 70 ip protocol_id 255 source_ip 192.168.0.0 ports 1-24 permit


# Запретитьвсе остальные
create access_profile profile_id 8 ip protocol_id_mask 0xFF source_ip_mask 0.0.0.0
config access_profile profile_id 8 add access_id 80 ip protocol_id 255 source_ip 0.0.0.0 port 1-24 deny

не отрабатывает.
т.е. пропускает с любым IP
Подскажите где ошибся.

P.S. немного перепутал тему
перенесите в 1210-28

А параметр Protocol ID Вы зачем такой указали?

все ip c такой маской

все ip c такой маской

был еще вариант 0xF0

Вот такую маску используйте: 0x00, а protocol_id = 0

Доброе утро.
На 3100 получилось.

На 3016 это не сработает? Т.к здесь через cpu идет?
create cpu access_profile profile_id 1 ethernet source_mac FF-FF-FF-FF-FF-FF
config cpu access_profile profile_id 1 add access_id 1 ethernet source_mac 48-5B-39-D5-*-* port 8 deny


Еще вопрос, если есть правила на 3100
create access_profile profile_id 2 ethernet source_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 2 add access_id 1 ethernet source_mac xx.xx.xx.xx port ch1 deny

еще нужно добавить блокировку 1 мака(шлюза) на всех портах, кроме 3, команда будет выглядеть так?
config access_profile profile_id 2(в тот же, новый не надо создавать?) add access_id 1 ethernet source_mac xx.xx.xx.x1 port 1-2,4-24 deny
При этом есть группы портов ch1 и ch2.

На DES-3016 нет ACL. Есть только CPU ACL для ограничения трафика, предназначенного непосредственно процессору.
На DGS-3100 правила можно вешать на chX.

А как разрешить доступ к управляющему интерфейсу свитча только из определенных подсетей?

При помощи функционала Trusted Host либо CPU ACL.

Спасибо, trusted_host то что нужно. А есть дока по логике работы access_profile и access rules?
Допустим, я хочу сделать через CPU ACL то же самое, что и create trusted_host network 172.16.0.0/16.
Чтобы разрешить сеть нужно сначала создать профайл с маской /16 и в нем правило, описывающее конкретную сеть. Затем чтобы запретить все остальные надо создать другой профайл с маской /0 и в нем запрещаюшее правило (implicit deny последним правилом нет по умолчанию), так? В каком порядке будут работать эти профайлы-правила?

Вы все верно описали. Чем меньше profile_id и затем access_id в нем, тем правило приоритетнее.