задача: на свиче в определенном влане разрешить только PPPoE пакеты, другие пакеты в этом влане запретить,
этим уменьшить паразитный не PPPoE-трафик из локалок абонентов и сократить кол-во мак-адресов на свичах


создаю ACL

но на портах все равно вижу маки из локалок абонентов, а не только маки от PPPoE-клиентов
вопрос: я неправильно пишу ACL или он не работает?

DES-3028
Boot PROM Version : Build 1.00.B06
Firmware Version : Build 2.80.B08

ACL никак не запретят свитчу изучать MAC адреса клиентов.

тогда почему эти же маки я вижу на следующем свиче?
значит пакеты с этими маками проходят через аплинковый порт 26 дальше

сам ACL написан правильно для моей задачи?

А это уже не нормально.

Уберите из правила проверку на vlan.

продолжил эксперименты с ACL, но уже со сниффером
в результате с таким ACL:

получил след. результат:
пропускаются разрешенные в ACL пакеты + multicast пакеты (маки источников которых я наверно и видел дальше по сети)

в связи с этим возник вопрос - как запретить прохождение multicast пакетов?
добавить правило для запрета 01:00:5e:xx:xx:xx или другим способом?
не повлияет ли это на работу механизма loopdetect?

мультикаст закрывается с помощью cpu acl.

Если у Вас не используется мультикаст, то закрыть весь igmp с помощью ip правила.