Для примера возьму коммутатор D-Link DES-3200-18 С1 с прошивкой 4.36.B012. Команды аналогичны для коммутаторов с разным количеством портов, они могут немного отличатся лишь при разной версии прошивки и ревизии.
Создадим аккаунт администратора:
create account admin NAME config admin local_enable
Хранение пароля администратора в зашифрованном виде:
enable password encryption
Включение возможности восстановления пароля:
enable password_recovery
Параметры serial порта:
config serial_port baud_rate 115200 auto_logout never
Включения доступа через web интерфейс:
enable web 80
Отключение управления коммутатором по SSH:
disable ssh
Включение доступа по telnet:
enable telnet 23
Настройка ширины окна терминала и отображение информации в постраничном режиме:
config terminal width 80 enable clipaging
Настройка количества отображаемых строк терминала:
config terminal_line default
Отключение логирования вводимых команд:
disable command logging
Удаление стандартного VLAN:
config vlan default delete 1-18 config vlan default advertisement enable
Создание отдельного VLAN для управления коммутатором (17 — uplink):
create vlan core tag 50 config vlan core add tagged 17 advertisement disable
Создание VLAN для пользователей:
create vlan local_smart tag 51 config vlan local_smart add tagged 17 config vlan local_smart add untagged 1-16,18 advertisement disable
Отключение инкапсуляции тегов VLAN в теги VLAN второго уровня:
disable qinq
Отключение авто настройки VLAN и назначение всем портам PVID клиентского VLAN:
disable gvrp config port_vlan 1-18 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 51
Включение автоматического назначения PVID портам (включено по умолчанию):
enable pvid auto_assign
Назначение IP адресе коммутатору в VLAN для управления:
config ipif System ipaddress 192.168.1.100/24 vlan core config ipif System dhcp_option12 state disable disable autoconfig config autoconfig timeout 50
Добавление шлюза по умолчанию:
create iproute default 192.168.1.1 1 primary
Включение ограничения broadcast трафика для всех портов кроме uplink:
config traffic control 1-16,18 broadcast enable multicast disable unicast disable action drop threshold 100 countdown 0 time_interval 5 config traffic control auto_recover_time 0 config traffic trap none config traffic control log state enable
На всякий случай отключим зеркалирование портов:
disable mirror
Настройка логов:
config log_save_timing on_demand disable syslog config system_severity trap information config system_severity log information
Разрешение больших jumbo frame пакетов и пример настройки портов:
enable jumbo_frame config ports 1-16 speed auto flow_control disable learning enable state enable mdix auto config ports 17 medium_type copper speed auto flow_control disable learning enable state enable mdix auto config ports 17 medium_type fiber speed auto flow_control disable learning enable state enable config ports 18 speed auto flow_control disable learning enable state enable
Разрешим управлять коммутатором только с указанных IP адресов:
create trusted_host network 192.168.1.1/24 snmp telnet ssh http https ping create trusted_host network 172.16.100.100/32 snmp telnet ssh http https ping
Настройка snmp трапов:
disable snmp traps disable snmp authenticate_traps disable snmp linkchange_traps config snmp linkchange_traps ports 1-18 disable config snmp coldstart_traps enable config snmp warmstart_traps enable config rmon trap rising_alarm enable config rmon trap falling_alarm enable
Включение и пример настройки SNMP (где TEXT укажем желаемый пароль):
enable snmp config snmp system_contact admin@ixnfo.com delete snmp community public delete snmp community private delete snmp user initial delete snmp group initial create snmp group public v1 read_view CommunityView notify_view CommunityView create snmp group public v2c read_view CommunityView notify_view CommunityView create snmp community public view CommunityView read_only create snmp group TEXT v2c read_view CommunityView write_view CommunityView notify_view CommunityView create snmp community TEXT view CommunityView read_write disable community_encryption
Отключение IGMP MULTICAST VLAN:
disable igmp_snooping multicast_vlan config igmp_snooping multicast_vlan forward_unmatched disable
Настройка и отключение PORT SECURITY:
config port_security system max_learning_addr no_limit disable port_security trap_log config port_security ports 1-18 admin_state disable max_learning_addr 32 lock_address_mode deleteonreset
Время хранения (сек) mac адреса в таблице:
config fdb aging_time 300 config block tx ports 1-18 unicast disable
Разрешим нулевые IP для связки адресов mac + ip:
config address_binding ip_mac ports 1-18 allow_zeroip enable
Можно включить фильтрацию NetBios на портах, так сказать запретить доступ к расшареным дискам:
config filter netbios 1-18 state enable config filter extensive_netbios 1-18 state enable
Настройка фильтрации вредных DoS пакетов:
config dos_prevention dos_type land_attack action drop state enable config dos_prevention dos_type blat_attack action drop state enable config dos_prevention dos_type tcp_null_scan action drop state enable config dos_prevention dos_type tcp_xmasscan action drop state enable config dos_prevention dos_type tcp_synfin action drop state enable config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state enable config dos_prevention dos_type ping_death_attack action drop state enable config dos_prevention dos_type tcp_tiny_frag_attack action drop state enable config dos_prevention trap disable config dos_prevention log disable
Блокировка сторонних DHCP серверов на всех портах кроме входящего:
config filter dhcp_server ports all state disable config filter dhcp_server ports 1-16,18 state enable config filter dhcp_server illegal_server_log_suppress_duration 30min config filter dhcp_server trap_log enable
Защита от BPDU флуда:
enable bpdu_protection config bpdu_protection recovery_timer 300 config bpdu_protection trap none config bpdu_protection log attack_detected config bpdu_protection ports 1-16,18 state enable config bpdu_protection ports 1-18 mode drop
Включение функции SAFEGUARD ENGINE:
config safeguard_engine state enable utilization rising 98 falling 90 trap_log enable mode fuzzy
Отключение отправки сообщений на электронную почту по SMTP:
disable smtp
Настройка SNTP параметров времени:
enable sntp config time_zone operator + hour 2 min 0 config sntp primary 192.168.1.1 secondary 0.0.0.0 poll-interval 40000 config dst disable
Отключение управлением multicast трафиком и немного стандартных параметров:
disable igmp_snooping disable mld_snooping
Параметры ARP:
config arp_aging time 20 config gratuitous_arp send ipif_status_up enable config gratuitous_arp send dup_ip_detected enable config gratuitous_arp learning enable
Настройка уведомлений о изменении температуры:
config temperature threshold high 79 config temperature threshold low 11 config temperature trap state disable config temperature log state enable
Сохранение конфигурации:
save all
Смотрите также мои статьи:
Настройка Traffic Segmentation
Настройка функции защиты от петель
Что значит сегментация трафика и хождение между портами?
Если функция сегментации настроена на коммутаторе, то например пользователь включенный в порт 1 не будет видеть пользователя в порте 2, они будут видеть только порт указанный как forward_list (на котором шлюз интернета например).