- Фильтрация по мас адресу.
Возникла необходимость запретить прохождение определённых мас адресов в определённых vlan. В первую очередь создаём списки мас адресов которые подвергнем гонениям :)
mac access-list extended office-secure
permit host 00ee.bd60.4d60 any
permit host 0454.53c7.7e47 any
permit host 847a.8876.20d2 any
permit host 0015.002c.3ad0 any
permit host 5cf8.a13f.7764 any
permit host 889b.392d.d7b9 any
mac access-list extended peronal-no-guest
permit host 844b.f5bd.4393 any
permit host 844b.f5bd.44b5 any
permit host 844b.f5bd.29a5 any
permit host dca9.7111.7d3a any
В первом списке запретим гостям проникать в корпоративную сеть, а во втором запретим сотрудникам (любителям FreeWi-Fi) доступ в интернет. Дальше создаём access-map с порядковым номером, привязываем к нему наши списки мас адресов и указываем на действие над фреймами:
vlan access-map peronal-no-guest 4
match mac address peronal-no-guest
action drop
vlan access-map peronal-no-guest 5
action forward
vlan access-map office-secure 6
match mac address office-secure
action drop
vlan access-map office-secure 7
action forward
Access-map с номером 5 и 7, судя по всему, являются общими разрешающими правилами для всех остальных, не попадающих под правила 4 и 6 фреймов. Честно, не помню - давно это было. Ну, и навешиваем vlan filter на нужные нам vlan:
vlan filter peronal-no-guest vlan-list 2-4
vlan filter office-secure vlan-list 7
При добавление мас адресов в списки не всегда приводило к моментальному применению настроек. При тестировании, порой, приходилось вовсе перезагружать коммутатор. Не знаю с чем связано, но конфига рабочая и это главное)
- Настройка интерфейсов.
В 2016 году, когда 2960 давно сняты с производства и в интернете джигурдалион материалов о настройках интерфейсов сего коммутатора, я сделаю зарисовку об этом :)
На этом коммутаторе интерфейсы могут работать в режиме trunk с максимально возможным количеством vlan и в режиме access одномременно. Делается это в три команды:
switchport mode trunk - режим работы интерфейса.
switchport trunk allowed vlan 2,7 - vlan которые смотрят в этот интерфейс, vlan tag с которых сниматься не будет.
switchport trunk native vlan 7 - тот самый vlan с которого метки dot1q будут сниматься.
- BackUP конфигурации по SNMP.
Как и на D-Link DES 3028 (A1) есть возможность сделать backup конфигурации по SNMP:
snmpset -c private -v 2c 192.168.50.29 1.3.6.1.4.1.9.9.96.1.1.1.1.2.336 i 1
snmpset -c private -v 2c 192.168.50.29 1.3.6.1.4.1.9.9.96.1.1.1.1.3.336 i 4
snmpset -c private -v 2c 192.168.50.29 1.3.6.1.4.1.9.9.96.1.1.1.1.4.336 i 1
snmpset -c private -v 2c 192.168.50.29 1.3.6.1.4.1.9.9.96.1.1.1.1.5.336 a 192.168.50.20
snmpset -c private -v 2c 192.168.50.29 1.3.6.1.4.1.9.9.96.1.1.1.1.6.336 s SW1.txt
snmpset -c private -v 2c 192.168.50.29 1.3.6.1.4.1.9.9.96.1.1.1.1.14.336 i 1
