Подскажите, пожалуйста, при включении q-in-q каким образом выглядит заголовок пакета внутри коммутатора - что нужно менять в правилах с packet_content_mask?

Было бы неплохо увидеть какой-нибудь сборник ACL с использованием packet_content_mask. Например, то что описанно на http://www.dlink.ru/technical/faq_hub_switch_75.php, можно сделать гораздо проще, запретив PADO пакеты от клиентов:
create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x0 profile_id 20
config access_profile profile_id 20 add access_id 1 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 1-24 deny

Вот это не подойдёт? Чисто для изучения. http://www.dlink.ru/technical/faq_hub_switch_90.php

Читал, для начала очень полезно. Но все примеры можно сделать и без packet_content_mask, тем же количеством ACL.

А что насчет основного вопроса:
"Подскажите, пожалуйста, при включении q-in-q каким образом выглядит заголовок пакета внутри коммутатора - что нужно менять в правилах с packet_content_mask?"

Там добавляется второй тег рядом с оригинальным с другим Ethertype. Посмотрите пакет в вашем случе сниффером и пробуйте фильтровать по Ethertype например.