uzverss

port-access-to-cisco
--------------------
interface FastEthernet0/1
 description CISCO
 switchport access vlan 2
 switchport mode access
 switchport nonegotiate


port-access-to-other
--------------------
interface FastEthernet0/1
 description OTHER
 switchport access vlan 2
 switchport mode access
 switchport nonegotiate
 no cdp enable


port-access-to-host
-------------------
interface FastEthernet0/1
 description HOST
 switchport access vlan 2
 switchport mode access
 switchport nonegotiate
 no cdp enable
 spanning-tree portfast


port-trunk
----------
interface GigabitEthernet0/1
 description TO 3750 G1/0/1
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 999
 switchport mode trunk
 switchport nonegotiate


port-channel
------------
interface Port-channel1
 description TO 3750
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 999
 switchport mode trunk
 switchport nonegotiate

interface GigabitEthernet0/1
 description TO 3750 G1/0/1
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 999
 switchport mode trunk
 switchport nonegotiate
 channel-group 1 mode on

interface GigabitEthernet0/2
 description to 3750 G2/0/1
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 999
 switchport mode trunk
 switchport nonegotiate
 channel-group 1 mode on


Разное
------
CTRL+SHIFT+6 - Прерывание.
en - Войти в привилегированный режим (пароль по умолчанию: Cisco).
username pupkin pr 15 se 0  - Создать пользователя с наивысшими привилегиями (15) и паролем.
sh inv raw | inc NAME|SN: [0-9A-Z] - Показать модули и их серийные номера.
sh pow - Показать статус питания.
sh proc cpu h - Показать загрузку процессора (график).
sh proc cpu | inc one minute - Показать загрузку процессора (одной строкой).
sh proc cpu sort | exc 0.00%  0.00%  0.00% - Показать загрузку процессора (процессы).
sh cdp ne - Просмотр окружения.
sh ip source binding - Показать привязки: MAC/IP/LEASE/VLAN/INTERFACE.
sh arp | inc 10.129.11.40                   - Поиск MAC`а по IP.
sh arp | inc bcae.c50e.1c28                 - Поиск IP по MAC`у.
sh mac-address-table address bcae.c50e.1c28 - Поиск IP по MAC`у.
sh mac address-table address bcae.c50e.1c28 - Поиск IP по MAC`у.
reload in 10  - Перезагрузка через 10 минут.
reload cancel - Отменить перезагрузку.
no cdp run - Глобальное отключение CDP (Cisco Discovery Protocol).


Time
----
ntp update-calendar   - Обновление hardware clock (calendar).
clock calendar-valid  - При продолжительной работе время clock и время в календаре маршрутизатора могут незначительно отличаться друг от друга. Для устранения этого расхождения у команды clock существует параметр calendar-valid для периодической синхронизации календаря и времени clock, которое генерирует кварцевый резонатор.
clock timezone MSK 3  - Установить часовой пояс Москва +3.
clock timezone SAMT 4 - Установить часовой пояс Самара +4.
clock summer-time MSKS  recurring last Sun Mar 2:00 last Sun Oct 3:00 - Переход на летнее Московское время.
clock summer-time SAMST recurring last Sun Mar 2:00 last Sun Oct 3:00 - Переход на летнее Самарское  время.

По умолчанию в конфигурации маршрутизатора включены сервисы timestamps debug и timestamps log, которые отображают время события (заносимого в журнал или отображаемого при включении debug) в нормальном формате, привязанном к правильному текущему времени. Если эти сервисы отключены, то очень рекомендую их включить:
  service timestamps debug datetime localtime
  service timestamps log datetime localtime


IOS
---
CTRL+BREAK при загрузке - Вход в ROMMON.

sh ver - Показать версию IOS.
sh file sys - Показать список файловых систем.
erase startup-config - Очистить конфигурацию, устанавливаемую при загрузке (потом reload).
erase cat4000_flash: - Очистить FLASH на 4506 (vlan.dat).
delete flash:vlan.dat - Удалить базу VLAN`ов.
squeeze bootflash: - Удалить файлы, помеченные как deleted.


IOS Update
----------
Через HyperTerminal по протоколу Xmodem:
  switch> enable
  switch: set baud = 115200
  switch: copy xmodem: flash:c2960-lanbase-mz.122-50.SE1.bin
  В HyperTerminal: Передача -> Отправить файл -> Протокол: 1K Xmodem.


Значения конфигурационных регистров вида 0xXXXX оборудования Cisco
------------------------------------------------------------------
Конфигурационный регистр управляет следующим поведение устройств Cisco:
  * как загружается устройство (в ROMmon, NetBoot),
  * варианты загрузки (игнорирование конфигурации, отключение сообщений при загрузке),
  * скорость консоли (скорость в бодах для эмуляции терминальной сессии).

  show version | inc register - Просмотреть текущее состояние конфигурационного регистра.
  config-register             - Установить новое значение конфигурационного регистра.
  config-register 0x2102      - Помогает, если не сохраняется конфигурация после перезагрузки.

Конфигурационные регистры имеют следующие значения:
  0x102
    * Ignores break
    * 9600 console baud
  0x1202
    * 1200 baud rate
  0x2101
    * Boots into bootstrap
    * Ignores break
    * Boots into ROM if initial boot fails
    * 9600 console baud rate
  0x2102
    * Ignores break
    * Boots into ROM if initial boot fails
    * 9600 console baud rate default value for most platforms
  0x2120
    * Boots into ROMmon
    * 19200 console speed
  0x2122
    * Ignores break
    * Boots into ROM if initial boot fails
    * 19200 console baud rate
  0x2124
    * NetBoot
    * Ignores break
    * Boots into ROM if initial boot fails
    * 19200 console speed
  0x2142
    * Ignores break
    * Boots into ROM if initial boot fails
    * 9600 console baud rate
    * Ignores the contents of Non-Volatile RAM (NVRAM) (ignores configuration)
  0x2902
    * Ignores break
    * Boots into ROM if initial boot fails
    * 4800 console baud rate
  0x2922
    * Ignores break
    * Boots into ROM if initial boot fails
    * 38400 console baud rate
  0x3122
    * Ignores break
    * Boots into ROM if initial boot fails
    * 57600 console baud rate
  0x3902
    * Ignores break
    * Boots into ROM if initial boot fails
    * 2400 console baud rate
  0x3922
    * Ignores break
    * Boots into ROM if initial boot fails
    * 115200 console baud rate

Значения отдельных битов конфигурационного регистра:
  00-03 (0x0000-0x000F)
    * Boots Field Parameters (0x0000)
    * Stays at the system bootstrap prompt (0x0001)
    * Boots system image on EPROM (0x0002-0x000F)
    * Specifies a default netboot filename
  06 (0x0040)
    * Ignore NVRAM contents
  07 (0x0080)
    * Disable boot messages
  08 (0x0100)
    * Break disabled
  10 (0x0400)
    * IP broadcast with all zeros
  5,11,12 (0x0020,0x0800,0x1000)
    * Console line speed
  13 (0x2000)
    * Boots default ROM software if network boot fails
  14 (0x4000)
    * IP broadcasts do not have net numbers
  15 (0x8000)
    * Enables diagnostic messages
    * Ignores NVRAM contents


Port
----
switchport nonegotiate - Не распознавать режим (mode access или mode trunk) автоматически.


Interface
---------
default int vl 1 - Настр. по умолч. для VLAN.
sh int p1 cou er - Показать ошибки на интерфейсе p1.
clear cou p1     - Сбросить статистику ошибок на интерфейсе p1.


PVST - per vlan spanning tree protocol
--------------------------------------
sh spanning-tree summary - Показать инф. о STP.
no spanning-tree vlan 10 - Откл. PVSTP для VLan`а.
int f0/11
  spanning-tree guard none - Откл. STP Guard на порту.
  spanning-tree guard root - Предотвращение перехода других коммутаторов в режим корневого моста STP.


Port Fast
---------
Функция, которая позволяет порту пропустить состояния listening и learning и сразу же перейти в состояние forwarding. Настраивается на портах уровня доступа, к которым подключены пользователи или сервера.
Порт с включенной функцией Port Fast проходит через обычный цикл состояний spanning-tree, когда коммутатор перезагружается.
Цель функции Port Fast минимизировать время, которое необходимо для того чтобы порт перешел в состояние forward. Поэтому она эффективна только когда применена к портам, к которым подключены хосты. Если включить Port Fast на портах, которые соединены с другими коммутаторами, то есть риск создания петли.
Режим Port Fast должен быть включен только на порте, подключенному к одному хосту. Подключение хабов, концентраторов, свитчей, бриджей, и т.д. к этому интерфейсу, когда включен режим Port Fast, может вызвать временную петлю. Используйте с осторожностью. Режим Port Fast действует только когда интерфейс не в режиме trunk.

Настройка Port Fast на access-интерфейсе:
  int f0/1
    spanning-tree portfast

Настройка Port Fast на trunk-интерфейсе:
  int f0/1
    spanning-tree portfast trunk
  !!! Если на trunk-интерфейсе выполнить команду без параметра trunk, то функция Port Fast не будет применена.

Функцию Port Fast можно настроить глобально на всех интерфейсах в режиме access:
  spanning-tree portfast default

Отключить Port Fast на интерфейсе:
  int f0/1
    spanning-tree portfast disable

Просмотр информации о статусе функции Port Fast:
  sh spanning-tree int f0/1 portfast
  sh spanning-tree int f0/1 detail
  sh spanning-tree summary


BPDU
----
Bridge Protocol Data Unit - пакет (единица данных) протокола управления мостами, IEEE 802.1d, базируется на реализации протокола STP (Spanning Tree Protocol). Используется для исключения возможности возникновения петель в сетях передачи данных при наличии в них многосвязной топологии. Используя одну физическую либо логическую связь в качестве основной, BPDU удерживает одну из доступных вторичных связей в режиме бездействия (ожидания). Таким образом полезный трафик передаётся только по одной из доступных связей. При нарушении функционирования одного из каналов (что легко наблюдается отсутствием прохождения через него сообщений 802.1d) ожидающий вторичный канал автоматически включается в работу, обеспечивая непрерываемость связности в сети.

BPDU Filtering
--------------
После включения функции, порт не принимает и не отправляет BPDU.
Может быть включена глобально на коммутаторе или на интерфейсе, у этих режимов есть некоторые отличия:
  - Если BPDU filtering включена глобально на коммутаторе, то для портов с включенной функцией Port Fast:
    - порт не принимает и не отправляет BPDU,
    - при включении порта отправляются несколько BPDU, а затем коммутатор фильтрует исходящие BPDU,
    - при получении BPDU на портах с Port Fast, на порту выключается Port Fast и BPDU filtering,
  - Если BPDU filtering включена на интерфейсе (без включения функции Port Fast):
    - порт не принимает и не отправляет BPDU,
    - применение этой функции на интерфейсе равносильно отключению spanning-tree на нем и может привести к образованию петель.

Включение BPDU Filtering глобально на коммутаторе, на портах с включенной функцией Port Fast:
  spanning-tree portfast bpdufilter default

  !!! Хотя в команде, которая включает BPDU Filtering глобально на коммутаторе, есть параметр portfast, применение этой команды не включает функцию Port Fast. Она должна быть настроена отдельно.

Настройка BPDU Filtering на интерфейсе:
  int f0/1
    spanning-tree bpdufilter enable

Просмотр информации о настройках BPDU Filtering:
  sh spanning-tree interface f0/1 detail
  sh spanning-tree summary


BPDU Guard
----------
Включение BPDU Guard глобально на коммутаторе, на портах с включенной функцией Port Fast:
  spanning-tree portfast bpduguard default
  !!! Хотя в команде, которая включает BPDU Guard глобально на коммутаторе, есть параметр portfast, применение этой команды не включает функцию Port Fast. Она должна быть настроена отдельно.

Настройка BPDU Guard на интерфейсе:
  int f0/1
    spanning-tree bpduguard enable

Просмотр информации о настройках BPDU Guard:
  sh spanning-tree int f0/1 detail
  sh spanning-tree summary


Отличия между STP BPDU Guard и STP Root Guard
---------------------------------------------
BPDU Guard и Root Guard схожи, но их воздействие различно:
 - BPDU Guard отключает порт после получения BPDU если Port Fast включен на этом порту. Отключение этих портов устройства эффективно исключает их из участия в STP. Вы должны вручную включить порт, который введен в состояние errdisable или настроить errdisable-тайм-аут.
 - Root Guard позволяет устройству принимать участие в STP до тех пор, пока устройство не будет пытаться стать root`ом. Если Root Guard блокирует порт, то восстанавливает его автоматически. Восстановление происходит, как только устройство-нарушитель перестает отправлять superior BPDUs.


UDLD
----
Протокол обнаружения однонаправленной связи (UDLD) позволяет устройствам, подключенным с помощью оптоволоконных или медных кабелей Ethernet (например кабелей категории 5), отслеживать физическую конфигурацию кабелей и обнаруживать появление однонаправленных соединений. При обнаружении однонаправленного соединения протокол UDLD отключает соответствующий порт и создает сообщение предупреждения для пользователя. Однонаправленные соединения могут вызвать множество проблем, включая петли в топологии STP.
Если выполнена команда errdisable recovery, можно определить причину состояния "errdisabled" с помощью команды sh errdisable recovery.
udld en - Вкл. Unidirected Link Detection - Обнаружение обрыва или неправильного подкл. полнодуплексных линков.
sh udld - Показать инф. об Unidirected Link Detection.


VTP (VLAN Trunking Protocol)
----------------------------
VLan`ы хранятся в конфиге, только если VTP Mode = Transparent.
sh vl br - Показать VLan`ы.
sh vtp st - Показать VTP-статус.
no vtp pr - Откл. VTP Pruning - Рекомендуется выкл. Особенно, если NATIVE VLAN изменён. Могут быть проблемы с VTP.


GLBP (Gateway Load Balancing Protocol)
--------------------------------------
Проприетарный протокол Cisco, предназначенный для увеличения доступности маршрутизаторов выполняющих роль шлюза по умолчанию и балансировки нагрузки между этими маршрутизаторами.
Терминология протокола:
  * Active Virtual Gateway (AVG) — присваивает виртуальный MAC-адрес каждому члену группы. AVG отвечает на ARP-запросы на виртуальный IP-адрес.
  * Active Virtual Forwarders (AVF) — маршрутизатор GLBP группы, который отвечает за отправку пакетов, которые пришли на виртуальный MAC-адрес, присвоенный ему AVG.
  * GLBP группа -- в группе могут быть 4 маршрутизатора.
Маршрутизаторы отправляют друг другу сообщения hello каждые 3 секунды. Сообщения отправляются на адрес 224.0.0.102, UDP порт 3222 (отправителя и получателя).
Режимы балансировки нагрузки:
  * Weighted load-balancing
  * Host-dependent load-balancing
  * Round-robin load-balancing -- режим используется по умолчанию.


CEF (Cisco Express Forwarding)
------------------------------
Способ ускоренной коммутации пакетов, позволяющий сэкономить процессорное время. Технически это реализовано за счет того, что маршрутизатор составляет единую таблицу, в которую включает все достижимые хосты, и ведет поиск по ней, вместо того, чтобы вести рекурсивный поиск по нескольким таблицам (arp, статика, несколько динамических протоколов и т.д.).

CEF включен по умолчанию, если его не отключить принудитедьно командами:
  no ip cef
и на интерфейсах:
  no ip route-cache
  no ip mroute-cache

Посмотреть статус можно командой:
  show cef state

To enable load balancing for Cisco Express Forwarding (CEF), use the ip load-sharing command in interface configuration mode.
  interface G0/1
    ip load-sharing per-destination


Routing
-------
ip subnet-zero - Разрешить использование 0 в номере подсети. Согласно документам RFC 791 нулевой адрес подсети определять не рекомендуется. И всё же, введя в ваших маршрутизаторах команду ip subnet-zero, вы сможете присвоить хостам в подсети 0 адреса от 1 до 127 (имеются в виду маски подсетей для сетей класса С), а в подсети 128 - адреса от 129 до 254. Такой подход позволяет несколько расширить число допустимых адресов. Если следовать RFC, вы сможете воспользоваться в лучшем случае только маской подсети 192 (двухбитовые адреса подсетей). Т.е маски 255.255.255.0 и 255.255.255.128 будут вам недоступны.
ip routing - Включение маршрутизации.
ip default-gateway 192.168.100.1 - Шлюз по умолчанию.
ip source-route - включить функцию "IP source routing" - она позволяет отправителю указать через какие маршрутизаторы должен пройти пакет.
no ip source-route - маршрутизатор будет отбрасывать любые входящие пакеты в которых установлена опция "IP source routing".


Policy Based Routing (PBR)
--------------------------
Команда set ip default next-hop проверяет существование адреса назначения в таблице маршрутизации и:
 - если адрес назначения существует, то команда не выполняет маршрутизацию пакета, вместо это пакет перенаправляется в соответствие таблице маршрутизации.
 - если адрес назначения не существует, команда маршрутизирует пакет, посылая его на указанный next-hop.

Команда set ip next-hop проверяет существование указанного next-hop и:
 - если next-hop существует в таблице маршрутизации, тогда пакет направляется на этот next-hop.
 - если next-hop не существует в таблице маршрутизации, пакет перенаправляется в соответствие с таблицей маршрутизации.


IP SLA (Service Level Agreements - соглашения об уровне обслуживания)
---------------------------------------------------------------------
Мониторинг наличия и качества связи является важным инструментом администратора сети, т.к. он позволяет не только обнаруживать проблему, но и предвидеть возникновение самой проблемы.
В Cisco IOS встроены несколько тестов для определения состояния сети которые объединены понятием SLA. На сегодняшний день SLA поддерживает следующие тесты:
 - dhcp DHCP Operation
 - dns DNS Query Operation
 - ethernet Ethernet Operations
 - ftp FTP Operation
 - http HTTP Operation
 - icmp-echo ICMP Echo Operation
 - icmp-jitter ICMP Jitter Operation
 - path-echo Path Discovered ICMP Echo Operation
 - path-jitter Path Discovered ICMP Jitter Operation
 - tcp-connect TCP Connect Operation
 - udp-echo UDP Echo Operation
 - udp-jitter UDP Jitter Operation
 - voip Voice Over IP Operation

Еще одно из полезных применений IP SLA - это автоматическое определение качества связи.
Как известно, наиболее чуствительным к качеству является голосовой трафик, поэтому наиболее ценным тестом является Jitter test.

На качество голоса влияет несколько параметров одновременно:
 - End-to-end (one way) delay: Это задержка пакета в одну сторону. Должно быть максимум 150ms
 - Jitter: Разные пакеты могут приходить с разными задержками, эту флуктуацию и определяет параметр jitter. Должно быть максимум 30ms
 - Packet loss: Потери пакетов должны быть максимум 1%

Эти параметры можно посмотреть на телефоне прямо во время звонка двумя способами:
 - Зайти на страницу телефона: Streaming Statistics > stream 1
 - Дважды нажать на кнопку "?" на телефоне

Возможны различные комбинации значений этих трех параметров. Например, как показывает практика, вполне можно говорить если End-to-end (one way) delay составляет 200ms, а остальные параметры идеальны. Но совершенно невозможно говорить если Jitter стабильно более 100, даже если остальные два параметра идеальны.
Тест IP SLA Jitter позволяет их всех привести к "общему знаменателю", типа можно говорить или нельзя. Этими едиными параметрами является MoS или ICPIF.
В тесте IP SLA Jitter используется Service Assurance Agent (Cisco SAA). Его работа заключается в симулировании голосового кодека и последующим определением End-to-end (one way) delay, Jitter, Packet loss. По этим параметрам Cisco SAA затем вычисляет MOS и ICPIF.
MOS и ICPIF используются для оценки качества связи и могут быть определены автоматически в результате теста Jitter.
Рассмотрим возможные значения:

ICPIF
5       Very Good
10      Good
20      Adequate
30      Limiting case
45      Exceptional limiting case
55      Customers likely to react strongly

MOS
5       Excelent
4       Good
3       Fair
2       Poor
1       Bad

Как показала практика, наибольшую полезность представляет ICPIF

Реализация.

На одном конце:

ip sla responder
ip sla 10
udp-jitter 172.16.127.33 20001 source-ip 172.16.127.4 codec g711ulaw codec-size 20
tos 184
frequency 300
ip sla schedule 10 life forever start-time now
access-list 5 permit 192.168.2.49
snmp-server community cmonitor RW 5
snmp-server ifindex persist

На другом конце:

ip sla responder
access-list 5 permit 192.168.2.49
snmp-server community cmonitor RW 5
snmp-server ifindex persist

Смотрим текущее значение IP SLA:
show ip sla statistics

Мониторить и анализировать очень удобно с помощью PRTG, где можно использовать сенсор VoIP and Qos > Cisco IP SLA
Натравливаем на роутеры PRTG, - он должен сам увидеть по SNMP созданные на маршрутизаторе элементы IP SLA.

Прочее:

ip cef                                          - Включить CEF, который будет отвечать за "быстрое" переключение между каналами.
ip sla 100                                      - Создать контейнер IP SLA с номером 100, который мы указали в соответствующем track.
ip sla schedule 100 start-time now life forever - Запустить контейнер IP SLA с номером 100 начиная с текущего момента и не использовать "вечно" (можно указать конкретное время, в течение которого будет действовать указанный IP SLA, но нам нужно чтобы он работал все время, так что ставим forever).
track 100 ip sla 100 reachability               - Привязать флаг track 100 к ip sla с номером 100. Track - это флаг состояния, который может иметь два значения: up или down. Этот флаг будет устанавливаться на основе данных полученных от IP SLA.


EIGRP
-----
sh ip eigrp ne - Просмотр EIGRP-окружения.


EIGRP Stub
----------
Если маршрутизатор получает информацию о том, что его сосед stub-маршрутизатор (тупиковый), то он не отправляет ему запросы о каких-либо маршрутах.
router eigrp 1
  eigrp stub connected     - Разрешает stub маршрутизатору отправлять connected маршруты, но только для интерфейсов, адреса которых находятся в сетях, указанных командой network;
  eigrp stub summary       - Разрешает stub маршрутизатору отправлять суммарные маршруты (автоматически просуммированные или административно);
                             (на уровне распределения - на всех CISC-ах, прямо подключенных к 6506).
  eigrp stub               - connected и summary
                             (на уровне доступа);
  eigrp stub leak-map      - Allow dynamic prefixes based on the leak-map;
  eigrp stub receive-only  - Запрещает stub маршрутизатору отправлять какие-либо маршруты;
  eigrp stub redistributed - Разрешает stub маршрутизатору отправлять redistributed маршруты;
  eigrp stub static        - Разрешает stub маршрутизатору отправлять static маршруты, при том, что перераспределение статических маршрутов уже настроено.

router eigrp 1
  network - Объявление классовой сети.
  passive-int def - Откл. обмен маршрутами по EIGRP на всех интерфейсах.
  no passive-int g0/1 - Вкл. обмен маршрутами по EIGRP на интерфейсах, участвующих в маршрутизации.
  vtp prun - Отмена передачи по trunk-ам vlan-ов, не объявленных на коммутаторе.


EIGRP authentification
----------------------
Для включения аутентификации сообщений протокола маршрутизации необходимо определить наборы ключей (key-chain), в каждом наборе необходимо определить верные ключи (key) и (необязательно) время их действия. После этого для каждого интерфейса можно назначить аутентификацию EIGRP-сообщений с помощью того или иного набора ключей.

  (config)#key chain <имя набора> - Определение набора ключей.
  (config-keychain)#key <номер ключа по порядку> - Определения каждого ключа в наборе.
  (config-keychain-key)#key-string <значение ключа> - Определения каждого ключа в наборе (значением ключа может быть любое слово).
  (config-if)#ip authentication mode eigrp  md5 - Аутентификация с помощью указанного набора ключей (при этом принимается сообщение с любым ключом из набора, действительным в настоящий момент; если время действия при создании ключа не указано, он действителен всегда).
  (config-if)#ip authentication key-chain eigrp  <имя набора> - Определяем тип аутентификации: ключ передается в сообщении открытым текстом (text) или используется защищенный режим - хэширование ключа по алгоритму MD-5 (md5).

  где N - номер автономной системы.


DHCP snooping
-------------
DHCP snooping позволяет:
  - Защитить клиентов в сети от получения адреса от неавторизованного DHCP-сервера,
  - Регулировать какие сообщения протокола DHCP отбрасывать, какие перенаправлять и на какие порты.

Для правильной работы DHCP snooping, необходимо указать какие порты коммутатора будут доверенными, а какие - нет.
  ip dhcp snooping                       - Вкл. DHCP snooping.
  ip dhcp snooping vlan 1-4096           - Вкл. DHCP snooping в VLan`ах, которые должны быть защищены с его помощью.
  no ip dhcp snooping verify mac         - Откл. проверку соответствия MAC-адреса в DHCP-запросе MAC-адресу клиента.
  no ip dhcp snooping information option - Откл. вставку опции 82.
  int p1                                 - Указать доверенные порты (По умолчанию на коммутаторе все порты ненадёжные).
    ip dhcp snooping trust               - Указать доверенные порты (По умолчанию на коммутаторе все порты ненадёжные).
  ip dhcp-server 192.168.100.1           - Указать адрес авторизованного DHCP-сервера, доступного через доверенный порт.
  sh ip dhcp snooping                    - Просмотр настроек DHCP snooping`а.
  sh ip dhcp snooping binding            - Просмотр базы данных привязки DHCP для коммутатора.
  sh ip dhcp snooping statistics         - Просмотр статистики DHCP snooping`а.


IPSEC
-----
sh crypto session detail                - Просмотр состояния сессий
sh crypto isakmp sa
sh crypto ipsec  sa
clear crypto isakmp                     - Очищение ключей
clear crypto session remote 82.101.4.12 - Сброс сессии с 82.101.4.12


SSH
---
ip domain-name xgu.ru                - Имя домена (необходимо для генерации ключей)
crypto key generate rsa modulus 1024 - Создание пары ключей (если ключей нет, при подключении в ответ получаем ошибку: "connection refused")
ip ssh version 2                     - Включение SSH версии 2
ip ssh maxstartups 2                 - Ограничение числа сессий SSH
ip ssh time-out 60                   - Ограничение времени неактивного соединения (по-умолчанию 300 секунд)
ip ssh source-interface F0/1         - Указание интерфейса для всех сессий SSH
ip ssh logging events                - Включение журналирования событий SSH
username admin secret cisco123       - Создание пользователя в локальной базе
line vty 0 4                         - Настройка VTY
  login local
  transport input ssh


SNMP
----
Q: Что необходимо сделать на оборудовании Cisco, чтобы не изменялись Index-ы интерфейсов при перезагрузке/смене IOS-а устройства?
A: При перезагрузке устройства Cisco, устройство каждый раз создает новые Index-ы для интерфейсов, которые могут измениться, а могут и не меняться (зависит от изменений, произведенных на оборудовании). Соответствено NetXMS обращается на старые индексы и выдавать неверную информацию. Чтобы этого не происходило, необходимо на оборудовании прописать команду:
  (config)snmp-server ifindex persist
которая создаст файл ifIndex-table в nvram. Далее Cisco при загрузке устанавливает индексы для интерфейсов сверяясь с этим файлом, тем самым решается вопрос с неверным отображением информации по интерфейсам по SNMP.


NAT
---
sh ip nat translations - Показать таблицу NAT