Что бы запретить прохождение в определённой VLAN определённых MAC адресов воспользуемся возможностями ACL. Для этого создадим общую ACL с маской FF-FF-FF-FF-FF-FF.
create access_profile ethernet vlan source_mac FF-FF-FF-FF-FF-FF profile_id 1
Это означает, что дальнейшие правила должны содержать в себе полное указание MAC адреса источника и VLAN к которому применяется правило. Блокируем трёх диверсантов:
config access_profile profile_id 1 add access_id 1 ethernet vlan office source_mac C0-18-85-73-88-A1 port 11-12 deny
config access_profile profile_id 1 add access_id 2 ethernet vlan office source_mac 3C-83-75-E4-99-90 port 11-12 deny
config access_profile profile_id 1 add access_id 3 ethernet vlan office source_mac 00-EE-BD-60-4D-60 port 11-12 deny
Это означает, что во VLAN office запрещены фреймы с адресом источника C0-18-85-73-88-A1, 3C-83-75-E4-99-90 и 00-EE-BD-60-4D-60 на 11 и 12 портах.
То же самое можно сделать применив ACL с обработкой фреймов ASIC.
Первым делом включаем возможность обработки фреймов ASIC:
enable cpu_interface_filtering
Дальше тоже самое что и в предыдущем примере, с небольшим изменением в начале команд:
create cpu access_profile profile_id 1 ethernet vlan source_mac FF-FF-FF-FF-FF-FF
config cpu access_profile profile_id 1 add access_id 2 ethernet vlan office source_mac 00-EE-BD-60-4D-60 port 11-12 deny
config cpu access_profile profile_id 1 add access_id 4 ethernet vlan office source_mac 3C-83-75-E4-99-90 port 11-12 deny
config cpu access_profile profile_id 1 add access_id 5 ethernet vlan office source_mac C8-0E-77-04-7D-E0 port 11-12 deny
