Ce document décrit la configuration de base d'un commutateur Cisco afin d'avoir une sécurité et une base de travail convenable.

Désactivation des protocoles non nécessaires

no ip domain-lookup
no cdp run
no ip http server
no ip http secure-server
no service finger
no service tcp-small-servers
no service udp-small-servers
no service pad
no ip source-route
no service dhcp
no service password-recovery

Eteindre l'interface VLAN1

Ceci évite aux machines hors des Vlans de pouvoir communiquer avec le commutateur.

int vlan1
shut

Configuration port console et VTY

!Port console
line console 0
login local
exec-timeout 3 0
logging synchronous
exit
!VTY 0-4
line vty 0 4
login local
logging synchronous
transport input ssh
transport output ssh
exec-timeout 3 0
exit
!vty 5-15
login
transport input none
transport output none
exit
!auxiliaire (peu courant)
line auxiliaire 0
login

Vlan Poubelle

Une bonne pratique consite à créer un Vlan poubelle destiné à accueillir les ports inutilisés de sorte à ce que personnes ne puisse les exploiter pour atteindre d'autre machines.

Création du Vlan Poubelle

# vlan database
vlan 66 name Poubelle
!ou
(config) # vlan 66
name Poubelle
description --- Poubelle ---

Attribution du Vlan aux interfaces inutilisées

int range fa0/13 - 17
switchport mode access
switchport access vlan 66
description --- Interface inutile ---
shut

Gestion utilisateur

Activation du service de hashage des mots de passe

service password-encryption

Création d'un utilisateur

username "prenom.nom" privilege 15 secret "mot de passe"

Ajout d'un mot de passe au mode enable

enable secret "mot de passe"

Activation du SSH

Le SSH a besoin d'un nom d'hôte et d'un nom de domaine pour pouvoir générer la clé RSA

hostname "nom de machine"
ip domain-name "nom de domain"
ip ssh version 2
crypto key generate rsa

PARLER DU MOTD