Не нашел похожей темы.
Вообщем на 3828 без проблем настроились ACL в определенном VLANе и заработало.
При попытке повторить тоже самое правило на 3028 получаем в ответ:
DSCP or VID can't config with TCP port or flag !
проверено на нескольких коммутаторах 3028. Т.е. получается 3028 не может фильтровать TCP пакеты в определенном VLANе?
Просто в описании сказано:

Я и решил что он без проблем будет это делать.
Прошивка:

Я вам прошивку которую стоит использовать для тестирования выслал. Если разобраться то в описании всё верно. Ведь не написано что можно фильтровать скажем по IP и VLAN одновременно. Эта серия в железе не умеет в стандартных IP type ACL использовать ещё параметр VLAN. Но ведь есть третий тип ACL Packet Content filtering - фильтрация по битовой маске по первым 80 байтам IP-пакета. Если разберётесь в этом механизме будете лёгко писать любые правила.

Ок, спасибо за прошивку. Как бы не хотелось, придеться разбираться с packet filtering
Немного за рамки темы, но 3828 отказался включать LBD на портах. Это нормально?
Прошивка:
Т.е. enable loopdetection отказывается понимать.

на этой прошивке - да, LBD можно включить через STP протокол
на 4-м релизе должна нормально заработать

Я Вам прошивку выслал.

Спасибо, отпишусь чуть позже.

Залил в 3028 прошивку. Работает хорошо. Порадовал добавленный функционал и загрузка процессора (стала меньше). Помониторим и обновим остальные тогда.

Рад слышать!

Вообщем я так и не победил PCM на 3028
Задание создать в определенном вилане ACL на порты. При обычном создании фильтр работает на все VLAN на порту.
Тут два вопроса возникает:
1. Явно указать вилан на порту, в котором надо фильтровать.
2. Создать фильтр только на нетегированный трафик.

Что из этого возможно сделать? Если кто может помочь, подскажите, в факе только стандартные примеры, поиск по форуму дал информацию, но сделать не получилось.
Ну т.е. грубо говоря допустим в 25 вилане надо фильтровать нетбиос трафик.

Offset (0 - 15)
mask:0x00000000
mask:0x00000000
mask:0x00000000
mask:0x00000fff

если я не ошибаюсь, VLAN тут. Можно попробовать, но я незнаю как конкретно обрабатывается VLAN в ACL.

После усиленного курения форума нашел в посту от уважаемого Daniil-B

Мне нужна фильтрация именно на портах куда нетегированный трафик приходит...
Тут подумал, а если на порту есть и тегированный и нетегированный, правило затронет только нетегированный?
Думаю пока дальше. К сожалению нет выделенной железки потестировать
Может быть дождусь ответов от гуру snark или Daniil-B

Untag пакетики будут фильтроваться только untag правилами, т.е. там где нет выборки по тегу 802.1q или учитывается смещение из-за добавления тега 802.1q.

_________________
С уважением,
Бигаров Руслан.

Т.е. ниже приведенное правило отфильтрует untag пакеты на 1 порту TCP/UDP протокола с портом 135 и не затронет tag пакеты?

Верно.
А общее правило под все тегированные пакеты будет выглядеть со смещением:

Вообщем еще долго ломал голову, получается вот так:

это правило заблокирует весь TCP=135 трафик на всем коммутаторе в vlan_id 100.
а это

заблокирует весь нетегированный трафик TCP=135 на всем коммутаторе.
Я хоть в чем-нибудь прав?
Ну и не могу понять с блокировкой DHCP по dst 68..., если у 3028 нетегированный трафик который блокируем то сдвигаем на 4 байта влево, получается что правило уже залезет в offset_0-15? Вообщем конструкция вида будет работать или нет? (профиль создан выше). Получается для правила надо делать свой профиль? /уже раз 10 отредактировал сообщение /