tm

   Что бы запретить прохождение в определённой VLAN определённых MAC адресов воспользуемся возможностями ACL. Для этого создадим общую ACL с маской FF-FF-FF-FF-FF-FF.

create access_profile  ethernet  vlan source_mac FF-FF-FF-FF-FF-FF  profile_id 1

Это означает, что дальнейшие правила должны содержать  в себе полное указание MAC адреса источника и VLAN к которому применяется правило. Блокируем трёх диверсантов:

config access_profile profile_id 1  add access_id 1  ethernet  vlan office source_mac C0-18-85-73-88-A1  port 11-12 deny
config access_profile profile_id 1  add access_id 2  ethernet  vlan office source_mac 3C-83-75-E4-99-90  port 11-12 deny
config access_profile profile_id 1  add access_id 3  ethernet  vlan office source_mac 00-EE-BD-60-4D-60  port 11-12 deny

Это означает, что во VLAN office запрещены фреймы с адресом источника C0-18-85-73-88-A1, 3C-83-75-E4-99-90 и 00-EE-BD-60-4D-60 на 11 и 12 портах.

То же самое можно сделать применив ACL с обработкой фреймов ASIC.

Первым делом включаем возможность обработки фреймов ASIC:

enable cpu_interface_filtering

Дальше тоже самое что и в предыдущем примере, с небольшим изменением в начале команд:

create cpu access_profile profile_id 1 ethernet  vlan source_mac FF-FF-FF-FF-FF-FF
config cpu access_profile profile_id 1  add access_id 2  ethernet  vlan office source_mac 00-EE-BD-60-4D-60  port 11-12 deny
config cpu access_profile profile_id 1  add access_id 4  ethernet  vlan office source_mac 3C-83-75-E4-99-90  port 11-12 deny
config cpu access_profile profile_id 1  add access_id 5  ethernet  vlan office source_mac C8-0E-77-04-7D-E0  port 11-12 deny
Добавить комментарий


Защитный код
Обновить