Пришлите мне, пожалуйста, конфигурационный файл устройства целиком (где указаны все имеющиеся на коммутаторе профили и правила)
Кроме того, в первом сообщении у Вас у разных профилей одинаковый id.

Денис, спасибо большое что не забыли о моей проблеме и выслали новую прошивку! Я с новой прошивкой на стенде выяснил следующее:

1. В веб-интерфейсе ACL-профили PCM по-прежнему создаются глючно. Создаю профиль, в котором указываю смещения для L2, после создания они почему-то оказываются L3. Правила в профилях PCM теперь создаются нормально - это исправили.

2. В CLI все профили и правила создаются и сохраняются правильно. То есть, проблема исчезновения правил PCM после ребута полностью исправлена.

3. ACL Ethernet-type теперь работают правильно.

4. ACL PCM по-прежнему не работают. Для обрезания броадкаста кроме arp от разрешенных ip делаю такую конструкцию:

Смотрю sh access - счетчик на правиле 290 растет, но arp-пакеты не проходят. Добавляю еще один профиль после профиля PCM, но до запрещающего профиля:

После этого arp-пакеты проходят, но творятся чудеса - у правила 290 счетчик растет, а вот у правила 300 - стоит на нуле. Вроде бы все логично - должно срабатывать именно правило PCM, оно ведь раньше проверяется. Но тогда почему без правила 300 пакеты не идут? Я добавил правило, по которому сработок нет, но без которого чудесным образом срабатывает, но не пропускает пакеты предыдущее правило PCM?

Ну и в догонку еще несколько замеченных глюков, не связанных с ACL:

5. В веб-интерфейсе на первой странице (Device information) состояние jumbo frame показывается enable, хотя в L2 futures -> jumbo frame у меня стоит disable.

6. В веб-интерфейсе не работает tftp config upload. В CLI без проблем.

2-3. рад слышать, что эти вопросы сняты, по ним в принципе и были исправления.
4-6. я проверю и напишу Вам по результатам.
1. приведите, пожалуйста, пример такого правила, чтобы это можно было воспроизвести.

Попробуйте через веб-интерфейс создать любой профиль PCM со смещениями относительно L2. Например такой:

У меня после создания offset1 и offset2 почему-то оказываются L3 вместо L2.

Да, вижу аналогичную ситуацию. По всем вопросам 1,4-6 я отписал в штаб-квартиру, как только по ним появятся новости, я сообщу Вам.

Еще раз спасибо!

Не совсем ясно, как фильтровать по содержимому PPPoE и ARP пакетов. Вот правила с 3828:

---
create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x0 profile_id 20
config access_profile profile_id 20 add access_id 1 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 1-24 deny

create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFF00FF00 0x0 0x0 0x0 profile_id 36
config access_profile profile_id 36 add access_id 1 packet_content_mask offset_16-31 0x8060000 0x0 0x0 0x0 offset_32-47 0xA000000 0x0 0x0 0x0 port 1-24 deny
---

Понятно, что первые четыре байта offset_16-31 теперь находятся в l2 области. Остальная часть данного смещения видимо в l3 области? А вот где находится offset_32-47 l3 или l4?

Попробуйте, такие правила:



Что касается L2 части - это ethertype, далее идет L3 часть. Лучше всего посмотреть пакет в сниффере, тогда все будет наглядно. И ознакомьтесь, пожалуйста, с дополнительной документацией на нашем сайте по этому вопросу: http://dlink.ru/ru/faq/62/954.html

Вопрос возник именно после ознакомления с указанной статьей.
Цитирую:
---
• L2 — часть, начинающаяся сразу после тега 802.1Q (или от начала ether type);
• L3 — часть, начинающаяся по окончании ether type;
• L4 — часть, начинающаяся по окончании IP заголовка.
---

1. Правильно ли я понял, что L3 часть коммутатор видит по окончании ether type вне зависимости от типа пакета.
2. L4 часть присутствует только в IP пакетах.

Верно. Что касается разделения на части - откройте анализируемый пакетик, например, в Wireshark и наглядно увидите, где заканчивается та или иная часть.

Понятно, спасибо.

Возникла следующая проблема:
Требуется создавать правила в зависимости от метки 802.1p.

Создается правило:

Матчей по аксес листу нет, но трафик с требуемым приоритетом ходит.

На DES-3200-28 поднят Q-in-Q. При включении этой функции трафик по содержимому заголовков L2 фильтровать можно только с помощью packet_content?

firmware 1.20.B005

Так у Вас же разрешающее правило, пакеты и должны ходить, если хотите посмотреть попадают ли пакеты под правило, то добавьте параметр counter, например, так:


Не совсем понял вопроса, если Вы имеете то, что при использовании двойного тега не будут работать например IP профили, то на тестовом стенде они работают в такой ситуации корректно.
Что касается прошивки, то если Вы не пользуетесь функционалом PPPoE Circuit ID Insertion, то лучше использовать версию 1.10.B020, так как в ней было много исправлений, связанных с ACL, и описанных в этой теме. Запросить можно в соответствующей теме на форуме: http://forum.dlink.ru/viewtopic.php?t=92700

В том то и дело что срабатываний счетчиков(матчей по ACL) нет :


С другой стороны если проверять не packet_content_mask c_tag 0xF000, а packet_content_mask c_tag 0xFFFF (проверять не только биты PCP и CFI, а все биты c_tag (PCP, CFI, VID)), то аксес лист работает.



IP профили работают корректно. Нам же интересен уровень L2 ( в частности 802.1p, vlan).

Данную прошивку выслал мне Соловьев Виктор 15.01.2010. Получается, что более новые версии прошивок не наследуют изменений в предыдущих? Так же хотелось бы увидеть Release Notes для прошивок.

Release notes пока к сожалению отсутствует, так как это не релизные версии прошивок. R1.2 прошивка имеет поддержку функционала PPPoE Circuit ID Insertion, но исправления по остальному функционалу пока осуществляются для R1.1, так что если Вы PPPoE Circuit ID Insertion не используете, то лучше использовать именно 1.10.B020.
P.S. Ситуацию с указанными Вами правилами я проверю и сообщу Вам по результатам.