tm

  • Фильтрация по мас адресу.

Возникла необходимость запретить прохождение определённых мас адресов в определённых vlan. В первую очередь создаём списки мас адресов которые подвергнем гонениям :)

mac access-list extended office-secure
 permit host 00ee.bd60.4d60 any
 permit host 0454.53c7.7e47 any
 permit host 847a.8876.20d2 any
 permit host 0015.002c.3ad0 any
 permit host 5cf8.a13f.7764 any
 permit host 889b.392d.d7b9 any

mac access-list extended peronal-no-guest
 permit host 844b.f5bd.4393 any
 permit host 844b.f5bd.44b5 any
 permit host 844b.f5bd.29a5 any
 permit host dca9.7111.7d3a any

В первом списке запретим гостям проникать в корпоративную сеть, а во втором запретим сотрудникам (любителям FreeWi-Fi) доступ в интернет. Дальше создаём access-map с порядковым номером, привязываем к нему наши списки мас адресов и указываем на действие над фреймами:

vlan access-map peronal-no-guest 4
 match mac address peronal-no-guest
 action drop
vlan access-map peronal-no-guest 5
 action forward

vlan access-map office-secure 6
 match mac address office-secure
 action drop
vlan access-map office-secure 7
 action forward

 Access-map с номером 5 и 7, судя по всему, являются общими разрешающими правилами для всех остальных, не попадающих под правила 4 и 6 фреймов. Честно, не помню - давно это было. Ну, и навешиваем vlan filter на нужные нам vlan:

vlan filter peronal-no-guest vlan-list 2-4
vlan filter office-secure vlan-list 7

При добавление мас адресов в списки не всегда приводило к моментальному применению настроек. При тестировании, порой, приходилось вовсе перезагружать коммутатор. Не знаю с чем связано, но конфига рабочая и это главное)

 

  • Настройка интерфейсов.

   В 2016 году, когда 2960 давно сняты с производства и в интернете джигурдалион материалов о настройках интерфейсов сего коммутатора, я сделаю зарисовку об этом :)

На этом коммутаторе интерфейсы могут работать в режиме trunk с максимально возможным количеством vlan и в режиме access одномременно. Делается это в три команды:

switchport mode trunk - режим работы интерфейса.
switchport trunk allowed vlan 2,7 - vlan которые смотрят в этот интерфейс, vlan tag с которых сниматься не будет.
switchport trunk native vlan 7 - тот самый vlan с которого метки dot1q будут сниматься.

 

  • BackUP конфигурации по SNMP.

Как и на D-Link DES 3028 (A1) есть возможность сделать backup конфигурации по SNMP:

snmpset -c private -v 2c 192.168.50.29 1.3.6.1.4.1.9.9.96.1.1.1.1.2.336 i 1
snmpset -c private -v 2c 192.168.50.29 1.3.6.1.4.1.9.9.96.1.1.1.1.3.336 i 4
snmpset -c private -v 2c 192.168.50.29 1.3.6.1.4.1.9.9.96.1.1.1.1.4.336 i 1
snmpset -c private -v 2c 192.168.50.29 1.3.6.1.4.1.9.9.96.1.1.1.1.5.336 a 192.168.50.20
snmpset -c private -v 2c 192.168.50.29 1.3.6.1.4.1.9.9.96.1.1.1.1.6.336 s SW1.txt
snmpset -c private -v 2c 192.168.50.29 1.3.6.1.4.1.9.9.96.1.1.1.1.14.336 i 1

Добавить комментарий


Защитный код
Обновить