Доброго времени суток!

есть каталист, к портам которого подключены абоненты (кто через дслам, кто - напрямую...), нужно защитить сеть от езернет кадров идущих от абонентов с source MAC'ами брасов.
Можно для начала сделать так:
int fastEthernet 0/1
mac access-group no-bras-mac in

и соответственно:

mac access-list extended no-bras-mac
deny host <MAC-BRAS-1> any
deny host <MAC-BRAS-2> any
permit any any

Все вроде бы? Ан нет... mac access-group работает ТОЛЬКО для НЕ ip трафика (по документации и согласно моим экспериментам). То есть pppoe и arp работать не будут, но обычный IP пакет пройдет, в результате кадр с подставленным маком дойдет до ядра сети и центральный свич будет думать что брас находится в двух местах. Так можно обычным пингом навредить провайдеру.
Что делать? Cisco предлагает поставить одновременно с mac access-group еще и ip access-group на интерфейс, и там фильтровать IP трафик. Хорошо:

interface FastEthernet0/1
ip access-group no-bras-ip in

ip access-list extended no-bras-ip
deny ?
<0-255> An IP protocol number
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
igmp Internet Gateway Message Protocol
igrp Cisco's IGRP routing protocol
ip Any Internet Protocol
ipinip IP in IP tunneling
nos KA9Q NOS compatible IP over IP tunneling
ospf OSPF routing protocol
pcp Payload Compression Protocol
pim Protocol Independent Multicast
tcp Transmission Control Protocol
udp User Datagram Protocol

Но здесь же нельзя матчить пакеты по макам? Логично - это же IP access-list - а в ip пакете макам делать нечего :-)

Хм... что же делать?

Да... забыл сказать - есть же еще vlan access-lists, но там можно заблокировать нужный mac целиком в влане, а мне то нужно заблокировать только кадры с src mac идущие с определенных портов, иначе я заблокирую мак браса и отрублю всем интернет...