Уважаемые господа! Имею модель DGS-3200-10. Необходимо воспользоваться функционалом - create access_profile packet_content_mask. В данной модели такой возможности нет. Есть возможность - create access_profile profile_id 1 packet_content_mask
offset_chunk_1 ..... но данный профиль можно создать только 1, что недостаточно. Есть также возможность воспользоваться create CPU access_profile packet_content_mask. Но используя этот функционал мне вообще не удалось достичь какого либо требуемого результата.
Запрашивал здесь прошивку, но, увы, ее обновление не помогло достичь требуемого результата.
Сейчас прошивка : Firmware Version 1.61.B004
Boot PROM Version 1.00.B012
Огромная просьба, кто сталкивался или знает как помочь - отклинуться. Заранее благодарен

Укажите пожалуйста что Вы хотите именно отфильтровать.

мне необходимо организовать фильтрацию ARP пакетов в следующем порядке
1 запретить прохождение пакетов для определенных IP адресов
2 разрешить прохождение пакетов для определенных IP адресов
3 разрешить прохождение пакетов для диапазона IP адресов
4 запретить вообще прохождение ARP пакетов.
Из этих 4 правил на каждом порту будут набираться комбинации в зависимости от условий его использования
Спасибо

указать - указал, а ответа нет. что то неправильное написал?

Так как PCF профиль можно создать только один, то примерно так (в зависимости от задачи):

# Запретить ARP пакетики от IP 192.168.0.221
create access_profile profile_id 1 packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 7 0xffff offset_chunk_3 8 0xffff0000
config access_profile profile_id 1 add access_id 1 packet_content offset_chunk_1 0x806 offset_chunk_2 0xc0a8 offset_chunk_3 0x00dd0000 port 1 deny

# Разрешить ARP пакетики от IP 192.168.0.220 добавляете в первый профиль
config access_profile profile_id 1 add access_id 2 packet_content offset_chunk_1 0x806 offset_chunk_2 0xc0a8 offset_chunk_3 0x00dc0000 port 1 permit

# запретить весь ARP
create access_profile profile_id 2 ethernet ethernet_type
config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x0806 port 1 deny

все понятно. у меня последний вопрос, как получить информацию о моделях коммутаторов, в которых реализован функционал
create access_profile packet_content_mask

Не совсем понял вопроса, Packet Content Filtering ACL есть и в DGS-3200 (пример я Вам привел), просто синтаксис команды отличается на разных моделях.

модели, где огрничение по этому профилю больше 1

В DES-3526 или DES-3028, например, таких ограничений нет. Может быть Вы все же имеете в виду какую-либо конкретную модель?

Тогда вопрос по предложенному Вами варианту:
Создал схему. DGS-3200-10. Два компьютера подключены на 1 и 8 порт соответственно
Программирую:
разрешаем только ARP
create access_profile profile_id 1 packet_content_mask offset_chunk_1 3 0x0000FFFF offset_chunk_2 7 0x0000FFFF offset_chunk_3 8 0xFFFF0000
config access_profile profile_id 1 add access_id 1 packet_content offset_chunk_1 0x00000806 offset_chunk_2 0x00000A5A offset_chunk_3 0x5A030000 port 8 permit
на 8 порт разрешен ARP с IP 10.90.90.3
далее (крутил по разному - ну например так)
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 8 deny
т.е. запрещаем вообще протокол ARP.
Таким образом с 8 порт может работать только станция с ip 10.90.90.3.
В общем то так и получается.
На станции подключенной к 8 порту поставил ip 10.90.90.4
С обеих станций друг на друга запущены пинги (которые не проходят). В общем то поведение проверил соответствует установленному в конфигурации.
Однако оставленные на время станции - вдруг начали пинговать друг друга... Невероятно. посмотрел arp таблицы - они заполнены нужными значениями. Вытащил витую пару из коммутатора, воткнул обратно - пинги не идут, таблицы ARP пустые..... сижу наблюдаю...... 5-7 минут - пошли!!!! попандос. Где я мог ошибиться?

причем "продавливает" он по разным обстоятельствам. например на станции первого порта - отключаем и включаем сетевой интерфейс (причем сетевая активность при этом не идет - например пинг на втроую машину 8 порта)

Вы не учитываете Gratuitous ARP, который посылает компьютер, находящийся на первом порту. Из-за этого его мак и попадает в ARP-таблицу компьютера на 8 порту.

Согласен с Вами.
Но я писал выше, что пробовал разные варианты. Например такой:
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 8 deny

create access_profile ethernet ethernet_type profile_id 3
config access_profile profile_id 3 add access_id 1 ethernet ethernet_type 0x806 port 8 deny
config access_profile profile_id 1 add access_id 2 ethernet ethernet_type 0x800 port 8 deny

- результат аналогичен. Правда пинги начинают проходить в случае других действий со стороны первого компьютера (например при отсутствии в арп таблице компьютера на первом порту второго компьютера и запуска с него же пинга на сам коммутатор )

Приведенные Вами правила не запрещают компьютеру с первого порта отправлять Gratuitous ARP, а в свою очередь компьютеру на 8 порту его получать, так как ACL работают только на входящий в порт трафик (а правил для первого порта у Вас нет). В Вашем случае лучше запрещать не только ARP, но и IP пакетики.

добавил create cpu access_profile ethernet source_mac......
в общем получил, то что нужно, и можно получить, исходя из ограничений на количество профилей (( (очень жалко - связаны руки).
Вопрос можно закрыть, спасибо за участие