Вы здесь

ГлавнаяСтатьиSwitching

Стандартная настройка коммутатора Best Practice

пн, 27/04/2015 - 20:00 — vs

Общие рекомендации

  • Выберите для Native VLAN нигде неиспользуемую VLAN. Её не должны использовать и Access-ные порты.
  • Избегайте использования VLAN 1, т.к. это дефолтная VLAN.
  • Настраивайте "в лоб" аксесные и транковые порты, и избегайте использования протокола Dynamic Trunking Protocol [DTP].
  • Ограничивайте количество MAC-адресов на порту.
  • Контролируйте STP, не давая манипулировать структурой дерева STP.
  • Выключайте CDP на портах наружу.
  • На коммутаторах неиспользуемые порты следует держать в состоянии shutdown, а также ассоциировать с выделенным "слепым" VLAN-ом

Основные команды

service password-encryption
service timestamps debug datetime
service timestamps log datetime
!
hostname tmk01c3750G-24
!
aaa new-model
!
aaa authentication fail-message ^
      Any unauthorized access is monitored 
and can result in criminal or civil prosecution
            under applicable law.
^
!
enable secret 5 $1$PMtD$fUNe
!
username loc_adm privilege 15 secret 5 $1$nAyf$HTMTyG3v
!
clock timezone Tomsk 7
!
ip domain-name corp.ru
ip name-server 10.20.16.6
ip name-server 10.20.16.5
!
banner motd ^
*************** Cisco C2950 **********
          $(hostname).$(domain)
          VTY Line $(line)
            My Company
******************************************
^
!
spanning-tree mode rapid-pvst
spanning-tree portfast bpduguard default
!
snmp-server community my_snmp_pass RW 5
snmp-server ifindex persist
!
access-list 5 permit 192.168.2.49
access-list 5 permit 192.168.2.47
!
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 23 permit 10.19.0.0 0.0.255.255
!
line vty 0 4
access-class 23 in
exec-timeout 480 0
privilege level 15
transport input all
!
line vty 5 15
access-class 23 in
exec-timeout 480 0
privilege level 15
transport input all
!
ntp source Vlan10
ntp server 10.19.0.1
ntp server 10.19.0.2
!
ip dhcp snooping vlan 1 - 200
no ip dhcp snooping information option
ip dhcp snooping
mls qos
spanning-tree portfast bpduguard default
!
vtp mode transparent
!
errdisable recovery cause all
errdisable recovery interval 300
!
no ip http server

Включаем SSH

ip ssh version 2
ip domain name my.domain.ru
crypto key generate rsa

Настройки портов

interface fa0/1
 description To Router
 switchport mode access
 ip arp inspection trust
 ip dhcp snooping trust

interface fa0/5
 description To Server
 switchport mode access
 ip arp inspection trust
 ip dhcp snooping trust

interface GigabitEthernet1/0/17
 description Users
 switchport mode access
 auto qos voip cisco-phone
 storm-control broadcast level 20.00
 storm-control multicast level 87.00 65.00
 storm-control unicast level 87.00 65.00
 spanning-tree portfast
 spanning-tree bpduguard enable
Tags: 
Best Practice commutator

Комментарии

сб, 04/01/2020 - 05:19 — testoffsurf (не проверено)

Откуда вы взяли вот эти значения?

storm-control broadcast level 20.00
storm-control multicast level 87.00 65.00
storm-control unicast level 87.00 65.00

ср, 09/12/2020 - 13:26 — Артем (не проверено)

Не слишком ли высокие значения storm-control broadcast/multicast/unicast?
87% для интерфейса в 1Гигабит? Почему такие значения?
Спасибо, с уважением!

Добавить комментарий

Более подробная информация о текстовых форматах

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image