Если я правильно понял, то правило выглядит так:

create access_profile packet_content_mask offset1 l3 8 0xff00 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content offset1 0x4000 port 1 deny

В этом правиле на 1 порту блокируется пакет TTL=64, а как написать правило чтобы при отличном от TTL=128 блокировался пакет.

Написать разрешающее правило для TTL=128, а затем написать правило, блокирующее все ip пакеты.

Если я все верно понял то так:
create access_profile packet_content_mask offset1 l3 8 0xFF00 profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content offset1 0x8000 port 1 permit
config access_profile profile_id 3 add access_id 2 packet_content port 1 deny
Это правило для DES 3200-18
Но я не могу разобраться с DES 3200-52, если не трудно напишите как будет выглядеть правило на данном коммутаторе.

если верить http://www.dlink.ru/ru/faq/62/892.html , то правило начинается так:
create access_profile profile_id 3 profile_name 3 packet_content_mask offset_chunk_1 5 0x0000FF00
но пишет: No more hardware resource for this operation

Если через CPU - согласно этому: http://www.dlink.ru/ru/faq/62/240.html, то правило (со смещением) выглядит так ?
create cpu access_profile profile_id 1 packet_content_mask offset_16-31 0x0 0x0 0xFF00 0x0
config cpu access_profile profile_id 1 add access_id auto_assign packet_content offset_16-31 0x0 0x0 0x8000 0x0 port 1-48 permit
config cpu access_profile profile_id 1 add access_id auto_assign packet_content offset_16-31 0x0 0x0 0x0 0x0 port 1-48 deny