...
interface gigabitethernet 1/0/10switchport mode generalswitchport general allowed vlan add 10,20 untaggedswitchport general map macs-group 1 vlan 10switchport general pvid 20exit
Совместные настройки voice vlan и механизма port security
Рассмотрим схему
До выпуска версии 6.6.8 для совместной настройки voice vlan и port security необходимо было разрешать обучение трех mac-адресов за портом (port security max 3), так как MAC-адрес телефонного аппарата (далее - ТА) обучался как в voice vlan, так и в data vlan. Такое поведение было связано с тем, что ТА отправляет нетегированные LLDP. Попадая на коммутатор, происходит обучение MAC-адреса ТА в Data vlan из-за настройки соответствующего pvid:
Начиная с версии 6.6.8, была реализована возможность запрета обучения MAC-адреса ТА в Data VLAN путем добавления команды voice vlan secure mac-learning (включается в режиме глобальной конфигурации). При включении данной опции MAC-адреса от всех кадров, не предназначенных для Voice vlan, и source_mac которых совпадает с записью в OUI-table, не будут обучаться за соответствующим портом:
В качестве режима работы port security при использовании voice vlan secure mac-learning можно использовать и lock, и max-addresses, и secure. Также осуществлена поддержка с функцией discard-shutdown.
Итоговый пример конфигурации совместной настройки:
voice vlan id 103 voice vlan state oui-enabled voice vlan secure mac-learning voice vlan oui-table add c4143c
lldp med network-policy 1 voice vlan 103 vlan-type tagged up 4
interface gigabitethernet1/0/1 port security max 2 port security max 1 voice port security mode max-addressesswitchport mode general switchport general allowed vlan add 111 untagged switchport general pvid 111 lldp med enable network-policy lldp med network-policy add 1 voice vlan enable