show vlan ; найти клиентский влан



conf t /зайти в меню настроек

no ip forward-protocol udp netbios-ns /запретить udp трафик от нетбиоса

no ip forward-protocol udp netbios-dgm

no ip http server /закрыть доступ к http

no ip http secure-server /закрыть доступ к https

no service pad /устаревший неиспользуемый сервис

service password-encryption /скрытие паролей от посторонних глаз

service sequence-numbers /нумеровать события в логах

no service dhcp /отключение dhcp сервера

no service tcp-small-servers /отключаем простые службы, аналогичные службам inetd типа chargen

no service udp-small-servers

no ip source-route /отключаем маршрутизацию от источника, резолвинг DNS-имен,

no ip finger / finger и тому подобные службы

no ip domain-lookup

login on-failure log /нам требуется заносить в журнал события в случае если

login on-success log /аутентификации пользователя была успешной или произошла ошибка

logging buffered 262144 debugging /увеличение буфера для логов

logging rate-limit 10 except warnings /записывать не более 10 сообщений уровня debug,inform,notif)

logging console critical /при подключении консолью выводить только критические логи

logging on /включение логирования

logging message-counter syslog

logging buffered 51200 warnings /настройка буфера для warnings

logging trap notifications /тип отслеживаемых логов

logging origin-id hostname /имя свича при отправке логов

logging facility local1

logging source-interface Gi 0/1 /входящий линк, для отправки логов

logging host XX.XX.XX.XX /IP адресс сервера логов

errdisable recovery cause security-violation /Автоматически восстанавливать работу порта, если он отключился по

errdisable recovery cause link-flap /по port-securuty по прошествии errdisable recovery interval, если мака

errdisable recovery cause mac-limit /который вызвал отключение на порту больше нет

errdisable recovery cause storm-control

errdisable recovery cause loopback

errdisable recovery interval 300 /в состоянии errdisable порт будет находится 300 секунд (5 минут), после попробует автоматически включиться

no ip source-route /запрет обработки опций ip пакета source routing (не используется)

ip icmp rate-limit unreachable 1000 /ограничить скорость посылаеых каталистом icmp пакетов типа destination

ip icmp rate-limit unreachable DF 1000 / unreachable и DF fragmentation до 1 в секунду (1000мс)

ip tcp selective-ack /При потери пакетов, отправляет потерянные части, вместо всех

ip tcp timestamp /Для более точного измерения RTT, повышает производительность TCP

spanning-tree portfast bpdufilter default /Порт не принимает и не отправляет BPDU

line vty 0 15 /Настройки Telnet

transport preferred none /Не резолвить через ДНС ошибочно введённый текст

escape-character 3 /Прерывать выполнение комманд по ctrl+c

exec-timeout 30 0 /Закрывать сессию после 30 минут неактивности

no errdisable detect cause gbic-invalid

no errdisable detect cause link-flap

service unsupported-transceiver

no ip gratuitous-arps /защита от арп-спуфинга

no cdp run /глобальное отключение CDP на свитче

interface vlan 1

shutdown /отключение 1го влана

exit

interface range f 0/1 -24

switchport protected /изоляция портов

no cdp enable /отключение CDP на портах

storm-control action shutdown /Выключение порта при шторм-контроле

storm-control action trap /Запись в журнал при блокировке шторм-контролем

storm-control broadcast level 5 /Уровень "шторм"а на портах 5

switchport port-security /Включение привязки мак адресов к портам

switchport port-security violation protect

switchport port-security mac-address sticky /Фильтрация лишних мак-адресов на порту

switchport port-security maximum 30 /Ограничение на кол-во пропускаемых мак-адресов

switchport block multicast /Отбрасывать unknown трафик multicast

switchport block unicast /Отбрасывать unknown трафик unicast

switchport port-security aging time 5 /Период обновления таблицы маков

switchport port-security aging type inactivity /Обновлять таблицу неактивных адресов

switchport port-security aging static

duplex full /Включение полного дуплекса (решает проблему со скоростью)

spanning-tree portfast /Для быстрого включения портов

exit

ip dhcp snooping /Включение DHCP Snooping функции

ip dhcp snooping vlan *** /Включение на клиентском влане

int ran g 0/1 -2

no cdp enable /Отключение CDP на портах клиентскиз

ip dhcp snooping trust /Доверенные порты для выдачи DHCP

exit

service tcp-keepalives-in /Отключение зависших telnet сессий

service tcp-keepalives-out /

ip name-server 10.3.3.1 /Настройка DNS сервера

service timestamps log datetime localtime /Использование локального времени