Доброго времени суток.
Есть коммутатор des-3828 подключенный к 20 сетям, общее количество клиентов на нем более 600. Также на коммутаторе настроены профили ACL для фильтрации трафика между клиентами по определенным критериям.
Встала задача фильтровать клиентов по признаку ip-mac-port.
Как лучше поступить в данном случае? Не помешает ли ip-mac-port в acl mode нормальной работе остальных acl?
Тоесть если в профиле ip-mac пакет получает permit, то он не будет проверяться нижестоящими acl?

Всё зависит от того как настроете IP-MAC-Port Binding, если у вас уже есть правила ACL, то следует настраивать IP-MAC-Port Binding ACL mode после них. Он добавятся в конец списка, и остальные правила будут действовать. Если же Вы их добавите в начало списка, то стоящее в конце такого правила запретить все остальные MAC и IP-адреса будет срабатывать всегда почти сразу и другие правила действовать не будут.

Получается что если в профиле IP-MAC-Port Binding, который стоит первым в списке, пакет получит permit, то он не будет продолжать дальнейшее движение по профилям ACL? Если же профиль поставить последним в списке, то возможно пакет не дойдет до этого профиля если получит permit в вышестоящем профиле.
Логика работы ACL такова что пакет проходит через профили до первого совпадения где и решается пропустить его дальше или зарубить, или же пакет проходит все профили и результатом фильтрации будет результат последнего совпадения?
Всё это хочется добавить к viewtopic.php?p=167417#167417
И я правильно понимаю что IP-MAC-Port Binding ACL не ограничивается 500 связками, а упирается в вместимость профиля?

Всё правильно понимаете. Только связок всё равно 500. Это не зависит от количества ACL. Но правила из общего количесва расходуются.