Здравствуйте!

Настраиваю коммутатор T2700G-28TQ v4, и никак не могу понять синтксис packet content ACL - вроде бы составляю правильно, но трафик продолжает пропускаться. Обычные ACL при этом работают исправно.

access-list packet-content profile chunk-offset0 2 chunk-offset1 3 chunk-offset2 5 chunk-offset3 6

access-list create 2000
access-list packet-content config 2000 rule 5  deny logging disable chunk0 00008863 mask0 0000FFFF chunk1 00070000 mask1 FFFF0000

access-list create 1000

access-list combined 1000 rule 5 deny logging disable smac 02:10:11:12:13:14 smask FF:FF:FF:FF:FF:FF
access-list combined 1000 rule 35 permit logging disable type 0800
access-list combined 1000 rule 40 permit logging disable type 0806
access-list combined 1000 rule 50 permit logging disable type 8863
access-list combined 1000 rule 55 permit logging disable type 8864

access-list bind 2000 interface gigabitEthernet 1/0/1-24
access-list bind 1000 interface gigabitEthernet 1/0/1-24

В правиле packet content acl мне нужно запретить PADO без использования PPPOE IA на коммутаторе. Т.е. просто голой фильтрацией.

Т.е. мне нужно запретить пакет с ethertype 0x8863, содержащий в первых двух байтах payload значение 0x0007. Я вычислил, что это offset 2 и 3, но это не работает.

Также не понимаю (и в документации не нашел), какое дефолтное действие у acl - permit или deny, и продолжается ли процессинг пакета в другом типе acl после permit или deny в первом  (если на порт их навешано два разных).