tm

   Опишу способы бэкапирования конфиги. Сделать это можно из CLI и извне, так сказать, т.е. по протоколу SNMP.

Из CLI:

upload cfg_fromTFTP <ipaddr> <path_filename 64> - указываем IP сервера на котором поднят TFTP и имя сохраняемого файла.

 

По протоколу SNMP всё несколько сложнее, но выполнимо:

Авторизация через TACACS

 В статье про настройку TACACS+ для Windows упоминал про настройки сетевых устройств. Пришло время. Описанием каждой команды заниматься не буду. Смысл сводится к тому, что если не доступен TACACS сервер, работающий на 49 порту, то доступна локальная авторизация. Так же указываются протоколы через которые можно авторизоваться на устройстве.

AAA configuration
create authen server_host 192.168.50.1 protocol tacacs+ port 49 key "password" timeout 5 retransmit 1
config authen server_group tacacs+ delete server_host 192.168.50.1 protocol tacacs+
config authen server_group tacacs+ add server_host 192.168.50.1 protocol tacacs+
config authen_login default method tacacs+ local
config authen_enable default method  local_enable
config authen application console login default
config authen application console enable default
config authen application telnet login default
config authen application telnet enable default
config authen application ssh login default
config authen application ssh enable default
config authen application http login default
config authen application http enable default
config authen parameter response_timeout 30
config authen parameter attempt 3
enable authen_policy
config admin local_enable

  • Фильтрация по мас адресу.

Возникла необходимость запретить прохождение определённых мас адресов в определённых vlan. В первую очередь создаём списки мас адресов которые подвергнем гонениям :)

mac access-list extended office-secure
 permit host 00ee.bd60.4d60 any
 permit host 0454.53c7.7e47 any
 permit host 847a.8876.20d2 any
 permit host 0015.002c.3ad0 any
 permit host 5cf8.a13f.7764 any
 permit host 889b.392d.d7b9 any

mac access-list extended peronal-no-guest
 permit host 844b.f5bd.4393 any
 permit host 844b.f5bd.44b5 any
 permit host 844b.f5bd.29a5 any
 permit host dca9.7111.7d3a any

   На этих коммутаторах D-Link DES серии 30xx есть возможность ограничить скорость передачи данных на порту. Делается это в один присест:

config bandwidth_control 10 rx_rate <64-1024000> tx_rate <64-1024000>

Значения приёма-передачи в килобитах/сек. Например:

show bandwidth_control 10

Command: show bandwidth_control 10

Bandwidth Control Table

Port   RX Rate      TX Rate        Effective RX       Effective TX
        (Kbit/sec)    (Kbit/sec)     (Kbit/sec)          (Kbit/sec)
----    ----------       ----------        ----------------       ----------------
10      1024          1024          1024                1024

   Что бы запретить прохождение в определённой VLAN определённых MAC адресов воспользуемся возможностями ACL. Для этого создадим общую ACL с маской FF-FF-FF-FF-FF-FF.

create access_profile  ethernet  vlan source_mac FF-FF-FF-FF-FF-FF  profile_id 1

Это означает, что дальнейшие правила должны содержать  в себе полное указание MAC адреса источника и VLAN к которому применяется правило. Блокируем трёх диверсантов:

config access_profile profile_id 1  add access_id 1  ethernet  vlan office source_mac C0-18-85-73-88-A1  port 11-12 deny
config access_profile profile_id 1  add access_id 2  ethernet  vlan office source_mac 3C-83-75-E4-99-90  port 11-12 deny
config access_profile profile_id 1  add access_id 3  ethernet  vlan office source_mac 00-EE-BD-60-4D-60  port 11-12 deny

Это означает, что во VLAN office запрещены фреймы с адресом источника C0-18-85-73-88-A1, 3C-83-75-E4-99-90 и 00-EE-BD-60-4D-60 на 11 и 12 портах.

То же самое можно сделать применив ACL с обработкой фреймов ASIC.

Первым делом включаем возможность обработки фреймов ASIC:

enable cpu_interface_filtering

Дальше тоже самое что и в предыдущем примере, с небольшим изменением в начале команд:

create cpu access_profile profile_id 1 ethernet  vlan source_mac FF-FF-FF-FF-FF-FF
config cpu access_profile profile_id 1  add access_id 2  ethernet  vlan office source_mac 00-EE-BD-60-4D-60  port 11-12 deny
config cpu access_profile profile_id 1  add access_id 4  ethernet  vlan office source_mac 3C-83-75-E4-99-90  port 11-12 deny
config cpu access_profile profile_id 1  add access_id 5  ethernet  vlan office source_mac C8-0E-77-04-7D-E0  port 11-12 deny