Вы здесь

Стандартная настройка коммутатора Best Practice

Общие рекомендации

  • Выберите для Native VLAN нигде неиспользуемую VLAN. Её не должны использовать и Access-ные порты.
  • Избегайте использования VLAN 1, т.к. это дефолтная VLAN.
  • Настраивайте "в лоб" аксесные и транковые порты, и избегайте использования протокола Dynamic Trunking Protocol [DTP].
  • Ограничивайте количество MAC-адресов на порту.
  • Контролируйте STP, не давая манипулировать структурой дерева STP.
  • Выключайте CDP на портах наружу.
  • На коммутаторах неиспользуемые порты следует держать в состоянии shutdown, а также ассоциировать с выделенным "слепым" VLAN-ом

Основные команды

service password-encryption service timestamps debug datetime service timestamps log datetime ! hostname tmk01c3750G-24 ! aaa new-model ! aaa authentication fail-message ^ Any unauthorized access is monitored and can result in criminal or civil prosecution under applicable law. ^ ! enable secret 5 $1$PMtD$fUNe ! username loc_adm privilege 15 secret 5 $1$nAyf$HTMTyG3v ! clock timezone Tomsk 7 ! ip domain-name corp.ru ip name-server 10.20.16.6 ip name-server 10.20.16.5 ! banner motd ^ *************** Cisco C2950 ********** $(hostname).$(domain) VTY Line $(line) My Company ****************************************** ^ ! spanning-tree mode rapid-pvst spanning-tree portfast bpduguard default ! snmp-server community my_snmp_pass RW 5 snmp-server ifindex persist ! access-list 5 permit 192.168.2.49 access-list 5 permit 192.168.2.47 ! access-list 23 permit 192.168.0.0 0.0.255.255 access-list 23 permit 10.19.0.0 0.0.255.255 ! line vty 0 4 access-class 23 in exec-timeout 480 0 privilege level 15 transport input all ! line vty 5 15 access-class 23 in exec-timeout 480 0 privilege level 15 transport input all ! ntp source Vlan10 ntp server 10.19.0.1 ntp server 10.19.0.2 ! ip dhcp snooping vlan 1 - 200 no ip dhcp snooping information option ip dhcp snooping mls qos spanning-tree portfast bpduguard default ! vtp mode transparent ! errdisable recovery cause all errdisable recovery interval 300 ! no ip http server

Включаем SSH

ip ssh version 2 ip domain name my.domain.ru crypto key generate rsa

Настройки портов

interface fa0/1 description To Router switchport mode access ip arp inspection trust ip dhcp snooping trust interface fa0/5 description To Server switchport mode access ip arp inspection trust ip dhcp snooping trust interface GigabitEthernet1/0/17 description Users switchport mode access auto qos voip cisco-phone storm-control broadcast level 20.00 storm-control multicast level 87.00 65.00 storm-control unicast level 87.00 65.00 spanning-tree portfast spanning-tree bpduguard enable

Комментарии

Откуда вы взяли вот эти значения?

storm-control broadcast level 20.00
storm-control multicast level 87.00 65.00
storm-control unicast level 87.00 65.00

Не слишком ли высокие значения storm-control broadcast/multicast/unicast?
87% для интерфейса в 1Гигабит? Почему такие значения?
Спасибо, с уважением!

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image