Сұрақ: Как настроить ACL, если необходимо, чтобы PPPoE-соединение проходили только на Uplink-порт?

Жауап: 

Схема сети:

PPPoE - концентратор подключён к порту 26 коммутатора DES-3526, клиенты подключены к портам 1-25, MAC-адрес концентратора - 00-13-5F-AA-BB-CC.

Примечание: За полным описание протокола PPPoE обращайтесь к RFC 2516.

Настройки DES-3526:

# Создаём профиль ACL для разрешения PPPoE-пакетов от концентратора клиентам
create access-profile ethernet source_mac FF-FF-FF-FF-FF-FF ethernet_type profile 1

# Разрешаем PPPoE-session-пакеты от концентратора клиентам
config access-profile 1 add access_id 100 ethernet source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 26 permit

# Разрешаем PPPoE-data-пакеты от концентратора клиентам
config access-profile 1 add access_id 200 ethernet source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 26 permit

# Создаём профиль ACL для разрешения PPPoE-пакетов от клиентов концентратору или серверу
create access-profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile 2

# Разрешаем широковещательные PPPoE-session PADI пакеты от клиентов
config access-profile 2 add access_id 100 ethernet destination FF-FF-FF-FF-FF-FF ethernet_type 0x8863 port 1-25 permit

# Разрешаем PPPoE-session пакеты от клиентов к серверу
config access-profile 2 add access_id 200 ethernet destination 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 1-25 permit

# Разрешаем PPPoE-session пакеты от клиентов к серверу
config access-profile 2 add access_id 300 ethernet destination 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 1-25 permit

# Создаём профиль ACL для запрещения всех остальных PPPoE-пакетов
create access-profile ethernet ethernet_type profile 3

# Запрещаем все остальные PPPoE пакеты
config access-profile 3 add access_id 100 ethernet ethernet_type 0x8863 port 1-26 deny
config access-profile 3 add access_id 200 ethernet ethernet_type 0x8864 port 1-26 deny