свичи 3028 и 3526
в АЦЛях:
первое правило: разрешить все на мак 00:AB:CD:CD:CD:CD (с обычным приоритетом)
дальше пошли запрещающие правила..
следущее правило:
config access_profile profile_id 29 add access_id 10 ip protocol_id 47 port 1-28 deny priority 7 rx_rate no_limit

Вопрос: что первичнее приоритет или же то что это запрещающее правило?
Добился ли я того что протокол 47 закрыт, но имеет высший приоритет и на шлюз (мак которого разрешен раньше) - пакеты с этим протоколом будет проходить с высшим приоритетом?

Если нет, то подскажите куда копать?

Сначала у Вас всё пройдёт с обычным приоритетом на указанный мак (в т.ч. и нужный протокол), а потом просто заблочится протокол в других направлениях.

Кстати, это можно посмотреть tcpdump/wireshark...

Копать, скорее всего, в сторону packet content.

packet content имеется ввиду задавая в контенте МАК шлюза и нужный протокол?
это требует знаний больше чем я располагаю )))
да и к тому же там нет DSСP..
нет ли другого способа исхитрится?

задача выглядит вроде как просто.. нужно заблокировать левые ВПН пакеты, и поставить приоритет на ВПН пакеты идущие на мой сервер/шлюз.
может кто то логику подсказать?

ну а что Вам мешает независимо от протокола задать приоритет в первом профиле, а потом просто запретить ВПН?
или у Вас ещё что-то летит на шлюз, кроме ВПН, что Вы хотите понизить?

да, кроме ВПНа там еще много что ходит.. поэтому и возникла такая задача..

Приоритет можно выставлять только в разрешающих правилах, что вообще-то логично. Вам нужно разрешить VPN на шлюз с определённым приоритетом, потом разрешить всё остальное на шлюз с обычным приоритетом, а уж потом запретить всё остальное. Правильно что нужно смотреть в сторону Packet Content filtering. Примеры чтобы разобраться в механизме есть здесь http://www.dlink.ru/technical/faq_hub_switch_90.php http://www.dlink.ru/technical/faq_hub_switch_94.php http://www.dlink.ru/technical/faq_hub_switch_115.php