свитч 2960.
c2960#show access-lists test
Extended MAC access list test
    deny   host 0017.9a09.c11d any
    permit any any
тестируемый порт
!
interface FastEthernet0/5
storm-control broadcast level 5.00 1.00
storm-control multicast level 10.00
mac access-group test in
no cdp enable
!

За портом некая железяка, именно её мак 0017.9a09.c11d.
Эксперименты показали что фактически этот acl блокирует всего лишь арп реплай от неё. То есть пинг до неё дерится некторое время через свитч после установки ацла, после чего по мере устаревания мака по aging-time в таблице при очередном реквесте, его не удаются получить. И как бы пропадает пинг конечно.
Но. Если прописать его статически руками. Ну вскажем на винде arp -s 192,168,1,1 00-17-9a-09-c1-1d
то снова можно общаться с заблокированной железякой "сквозь" стоящий acl.

Это фича или что?? Мне нужно полностью дропнуть эзер фреймы с маком 0017.9a09.c11d на ингресс указанного порта.

• непонятки с mac access-list,AD, 20:07 , 20-Янв-08
• непонятки с mac access-list,shutdown now, 23:21 , 20-Янв-08

mac-address-table static хххх.хххх.хххх vlan ХХ drop  ?

>[оверквотинг удален]
>неё. То есть пинг до неё дерится некторое время через свитч
>после установки ацла, после чего по мере устаревания мака по aging-time
>в таблице при очередном реквесте, его не удаются получить. И как
>бы пропадает пинг конечно.
>Но. Если прописать его статически руками. Ну вскажем на винде arp -s
>192,168,1,1 00-17-9a-09-c1-1d
>то снова можно общаться с заблокированной железякой "сквозь" стоящий acl.
>
>Это фича или что?? Мне нужно полностью дропнуть эзер фреймы с маком
>0017.9a09.c11d на ингресс указанного порта.

mac-access-list обрабатывает только не IP фреймы