linkey

Я же написал, что мне надо будет проверять несколько смещений. ACL выше приведен в качестве примера. Нужен access-list который может проверить несколько смещений одновременно. Правила с номерами 1100-1199 как раз для этого случая. Проблема в том, что оно не вешается на интерфейс. Вот более конкретный случай (запретить PADO c абонентских портов) SNR-S2960-48G(config)#firewall enable SNR-S2960-48G(config)#access-list 1140 deny any-source-mac any-destination-mac untagged-eth2 window 12 2 8863 15 1 7 SNR-S2960-48G(config)#interface ethernet 0/0/1 SNR-S2960-48G(config-if-ethernet0/0/1)#mac access-group 1140 in ERROR: user defined windows is not supported. ERROR: can't bind access-list [1140] to interface Ethernet0/0/1!

Коммутатор SNR-S2960-48G SoftWare Version 6.2.150.1 SNR-S2960-48G(config)#userdefined-access-list extended offset swindow1 l2endoftag 0 ^ % Invalid input detected at '^' marker.

Попробовал вырезать весь IP траффик на порту. Добавил MAC extended access-list: access-list 1120 deny any-source-mac any-destination-mac untagged-eth2 window 12 2 2048 смещение 12 это должен быть EtherType, проверяю 2 байта, значение 2048 (кстати, почему нельзя в хексе 0x0800?) применяю на интерфейс: interface ethernet 0/0/1 mac access-group 1120 in ERROR: user defined windows is not supported. ERROR: can't bind access-list [1120] to interface Ethernet0/0/1! Варианты с другим видом access-list не подходят, т.к. правило будет проверять несколько смещений.