(вопрос к сотрудникам dlink с корее всего)
Есть задача на свиче фильтровать юзеровский трафик, что бы юзер адреса не менял. На других свичах это легко делалось через packet content acl, но у 3552 можно создать всего один такой, а надо больше (для фильтрафии arp запросов/ответов). Вариант с только ipv4 acl не подходит. Вопрос: как фильтровать arp запросы/ответы вместе с ip трафиком ?

Если вы хотите чтобы пользователи не меняли ip адреса - используйте функционал IMPB (IP-MAC-Port Binding)

Да, но при этом фиксируется и mac адрес, а мне это не надо. Плюс, я хочу зафильтровать лишний мусор который сыпется от абонента.

Не могли бы Вы пояснить? Почему не надо и как это мешает.

Потому что если фикстровать mac адрес - то пользователю придется каждый раз предупреждать о смене железа. А это не хочется.

ЗЫ: адреса у юзеров статические, dhcp нет.

Нет, при dhcp snooping это не нужно. MAC адрес может быть любым.

В текущей реализации PCF можно попробовать блокировать ARP с помощью PCF, а IP с помощью ip правил, или наоборот.

При такой схеме (реализованний на серии 3200) как надо не работает - для 3200 пришлось все делать на pcf acl. Не факт, что в 3552 это будет работать правильно. Есть ли возможность узнать в каком порядке свитч проверяет правила в acl и как ведет себя при совпадении правила.
Т.е. мне интересно как будет отработан следующий фильтр:

1. pcf acl (пишу не смещения-маски, а названия полей)
1.1 port 1 permit arp from USERIP1 -> NETIP/NETMASK
1.2 port 2 permit arp from USERIP2 -> NETIP/NETMASK
1.3.port 3 permit arp from USERIP3 -> NETIP/NETMASK

2. ip acl
2.1 port 1 permit ip from USERIP1 -> any
2.2 port 2 permit ip from USERIP2 -> any
2.3 port 3 permit ip from USERIP3 -> any

3. ethernet acl
3.1 port 1 deny all
3.2 port 2 deny all
3.3 port 3 deny all

Т.е. свитч должен пропустить трафик попадающий в pcf acl и в ip acl, остальное - задропить.

На DES-3200 логика немного отличается при использовании PCF ACL. На DES-3552 можно использовать совместно PCF и другие типы ACL, отрабатывать они будут по привычной логике.

Есть какой-либо документ, описывающий как оно работает. Т.е. как будет проверяться пакет в ACL и на каком этапе будет принято решение "что делать с пакетом" ?
Т.е. имеем pcf acl для arp, ip acl для остального трафика и любой acl для того, что бы дропнуть пакеты. Как их надо расположить, что бы то, что совпало в pcf acl и в ip acl ушло в сеть, а остальное дропнулось ?

В DES-3552 правила обрабатываются по порядку от низших номеров к высшим.

Это понятно. А как (в каком порядке) будут отработаны правила разных типов ? Например такие
profile_id 1: pcf: все правила с действием permit
profile_id 2: ip acl все правила с действием permit
profile_id 3: ethernet acl все правила с действием deny
т.е. что разрешено - пропускается, все остальное блокируется. В этом случае как будет работать фильтр: сначала profile_id 1 (access 1,2,3...) , потом profile_id 2 и т.д., или как-то еще ?

Именно так, независимо от типа профиля.