Хочу создать ACL-правила: 1) блокирующие левый dhcp и pppoe-трафик; 2) блокирующие samba-трафик.
Пока из презентаций не могу понять схему по которой правила пишутся. Есть профили, у каждого есть уникальный profile_id, внутри профиля создаются правила, у каждого профиля есть уникальный access_id.
Соответственно для блокировки samba нужно отбрасывать кадры, содержащие tcp и udp-пакеты с полем dst_port равным 135, 137, 138, 139, 445.
В презентации рекомендуется использовать следующие команды:

Это для 10-портового коммутатора, 1-9 - абонентские порты, 10 - аплинк
Тут, я так понимаю, происходит сравнение значения в поле "destination port" tcp и udp-пакетов. Вопрос, а почему бы вместо двух профилей не создать один, длина tcp и udp пакетов вроде одинаковая - стало быть можно сравнить значения по смещению 0x00A2 ip-пакета?
Подскажите стоит ли так делать и как это сделать вообще (я и про блокировку samba-трафика, и про блокировку dhcp и pppoe)?
Коммутаторы: DES-3200, DGS-3200, DGS-1100, DGS-3120

Зачем все эти ужасы?
Вам поможет traffic_segmentation. Весь трафик между абонентами будет зарезан.

Может быть я правда усложняю, поэтому и прошу совета.
traffic_segmentation зарежет трафик между абонентами только в пределах этого коммутатора, на на другие коммутаторы трафик всё равно же уйдёт, в том числе уйдёт samba, broadcast и прочий ненужный трафик,
И как определить, перегружен в настоящий момент коммутатор или нет? Вот например 10 (аплинк) порт работает в режиме 1000 Мбит/с, команда "show packet ports 10" показывает значения счётчиков RX Bytes/sec через каждую секунду от 2500 до 16000, TX Bytes/sec - от 800 до 10000, мало что понятно, можно ли сделать так чтобы показывалось среднее значение за 30 секунд? И как по этим значениям определить перегружен порт или нет?
Жалобы от абонентов на тормозящий интернет есть.
Приоритезации трафика нет. Буду благодарен, если поможите мне настроить приоритезацию и фильтрацию. У нас абонентам предоставляются две услуги: доступ в Интернет и IPTV, также многие абоненты смотрят телевидение от нашего партнёра LifeStream. Я так понимаю высший приоритет нужно дать multicast-трафику и UDP-трафику.

Сколько маков в одном влане? Сегментирована ли сеть вообще?

Обычно этим вопросом озадачиваются когда сеть не сегментирована и там, естественно, гуляет куча абонентского мусора. Эти ACL помогут, но на довольно непродолжительное время. Проходили уже...

Частично сегментирована?
Есть вланы, где один дом на влан, а есть вланы (непереведённые) где целый микрорайон на влан.
Если 71 мак это много?

Так собственно что посоветуете?
Совет сегментировать сеть я услышал и про использовании технологии traffic_segmentation также.
А как собственно измерять загруженность коммутаторов и определять как включение той или иной фильтрации трафика на эту загруженность влияет? Или на этих моделях коммутаторов измерение каких-либо числовых показателей невозможно?
И что всё-таки с фильтрацией трафика? Фильтровать трафик левых DHCP-серверов ведь по любому нужно, нужно же защитить сеть от абонентов, которые по ошибке роутер в обратную сторону подключают?

Ну уйдёт и уйдёт, какая разница.
На всех уровнях сети, где абоненты сидят в одном влане, с помощью traffic_segmentation убираете межабонентский трафик. В итоге мусор придёт только в центр, размножаться по сети он не будет.

71 - многовато, но еще терпимо.

Если используется только pppoe, то проще запретить все, кроме ethertype 8863 и 8864 в вланах юзеров. И забыть. Я так сделал.

myth, а можете сказать как? Я имею в виду выложить примеры команд

Все необходимое я сказал. Приводить это в команды лень, если честно.