есть два сегмента сети 10.10.0.х на 23 порту и 10.10.1.х на 24 порту.
есть dgs-3100-24 с последней прошивкой.
на нем сейчас настроено АЦЛ:
на 23 порту:
разрешено прохождение пакетов от подсети 10.10.0.х к подсети 10.10.1.х.
все остальные пакеты от 10.х.х.х к 10.х.х.х - нафиг.
на 24 порту:
разрешены пакеты от 10.10.1.х к 10.10.0.х
все остальные пакеты от 10.х.х.х к 10.х.х.х нафиг.

возможно ли с помощью ацл запретить арп запросы
на 23 порту - с адресом назначения 10.10.0.х
на 24 порту - с адресом назначения 10.10.1.х
????

Внимательно изучите вот этот документ:
http://www.dlink.ru/ru/faq/62/204.html

Возможно с помощью Packet Content Filtering.
Тема неоднократно обсуждалась на форуме, воспользуйтесь, пожалуйста, поиском.

поиск выдал только то, что dgs-3100-24tg нет фичи «Packet Content Filtering»

Возможно с помощью Packet Content Filtering.


все правильно Вам поиск выдал.

на дес-3028 это возможно?
можно пример ацл правила для такого случая?

На DES-3028 это возможно. В соседней теме - где Вы оставили похожее сообщение - есть исчерпывающая инструкция как писать PCF.
Помощь по синтаксису в данной линейке коммутаторов Вам окажет CLI manual.

спасибо за информацию.
перед тем как погрузится в написание правил возник вопрос: как задать в адресе назначения не один конкретный адрес а подсеть?

Указав destination_ip_mask, отличную от /32

create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF0000 offset_32-47 0x0 0x0000FFFF 0xFF000000 0x0 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content offset 12 0x8060000 offset 36 0x00000A0A offset 40 0x01000000 port 1 permit
config access_profile profile_id 1 add access_id 2 packet_content offset 12 0x8060000 offset 36 0x00000A0A offset 40 0x02000000 port 1 permit

create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF0000 profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset 12 0x8060000 port 1 deny

будут ли такие правила отрабатывать?
пропускать арп запросы только к подсетям 10.10.1.х и 10.10.2.х на первом порту?

Должны отрабатывать.

почему данные правила не отрабатывают на релизной прошивке DES30XXP_V2.00-B27.had?
а на прошивке DES_3028_52_V2.40-B08.had работают?


где можно посмотреть настройки для 3028 для запрета всего мультикаста на всех портах?
для 3526 нашел,а для 3028 не смог

Видимо потому, что релиз выпущен раньше и в нем эта ошибка не была исправлена



Попробуйте написать access profile, наподобие такого:

пробовал. но пакеты на некоторые мультикаст адреса все же проскакивают. на форуме где-то видел подобный же результат.
для 3526 пульзую это:

config igmp_snooping all state enable
config igmp_snooping querier all state enable
enable igmp_snooping
config router_ports_forbidden default add 1-26
config multicast port_filtering_mode 1-26 filter_unregistered_groups
create multicast_range mult_deny from 224.0.0.1 to 239.255.255.254
config limited_multicast_addr ports 1-26 add multicast_range mult_deny
config limited_multicast_addr ports 1-26 state enable

для 3028 есть что-то подобное?

Да, есть. Посмотрите команды