Стоял DES-3028. Несколько vlan, impb strict, вся маршрутизация статическая, ism vlan. Всё работало, кроме проблемы с мелким хешем mac-ов: show flood_fdb регулярно выдавало кучу.
Обновили на DES-3200-26 rev c1. Настройки, по возможности, идентичные прежнему DES. Отвалилось: ism vlan - нет iptv, не могу настроить access_profile типа packet_content. На прежнем такой профиль опробовал, вроде работало с оговорками.

На новом packet_content работает довольно занятно. Указано несколько правил, разрешающих доступ к конкретному хосту от 2 разрешаемых и последний access_id, запрещающий все остальные хосты. Однако, работает только 1 разрешаемый хост, второй блокируется при введении правила ограничения для всех остальных.
Профили доступа: первый типа ethernet - использую для блокирования широковещалки, кроме arp; второй типа ip - для блокировки мультикаста от абонентских портов; профиль 4 - тот самый packet_content, в кач-ве фаерволла (смотрит смещения на id протокола, ip адреса источника/назначения, порт в протоколе). Есть cpu filter для того же запрета служебных мультикаст рассылок от абонентских портов (на прежнем 3028 нормально функционировало).

Полные конфиги здесь привести не могу, могу на почту. Куда смотреть?