Я же написал, что мне надо будет проверять несколько смещений. ACL выше приведен в качестве примера. Нужен access-list который может проверить несколько смещений одновременно. Правила с номерами 1100-1199 как раз для этого случая. Проблема в том, что оно не вешается на интерфейс. Вот более конкретный случай (запретить PADO c абонентских портов)
SNR-S2960-48G(config)#firewall enable
SNR-S2960-48G(config)#access-list 1140 deny any-source-mac any-destination-mac untagged-eth2 window 12 2 8863 15 1 7
SNR-S2960-48G(config)#interface ethernet 0/0/1
SNR-S2960-48G(config-if-ethernet0/0/1)#mac access-group 1140 in
ERROR: user defined windows is not supported.
ERROR: can't bind access-list [1140] to interface Ethernet0/0/1!
Попробовал вырезать весь IP траффик на порту. Добавил MAC extended access-list:
access-list 1120 deny any-source-mac any-destination-mac untagged-eth2 window 12 2 2048
смещение 12 это должен быть EtherType, проверяю 2 байта, значение 2048 (кстати, почему нельзя в хексе 0x0800?)
применяю на интерфейс:
interface ethernet 0/0/1
mac access-group 1120 in
ERROR: user defined windows is not supported.
ERROR: can't bind access-list [1120] to interface Ethernet0/0/1!
Варианты с другим видом access-list не подходят, т.к. правило будет проверять несколько смещений.