La majorité des préconisations se basent sur les recommandations de l'ANSSI disponible à cette adresse : https://cyber.gouv.fr/sites/default/files/2016/07/nt_commutateurs.pdf

Préconisation R23

no banner login
no banner exec
no banner incoming
no banner motd

Préconisation R25

vtp mode off

Préconisation R32

ip arp proxy disable

Préconisation R33

no ip source-route

Préconisation R45

Si préconisation R70 appliquée, il faut spécifier une ou des adresses IP :

ntp server 10.10.100.123

Si préconisation R70 non appliquée, l'utilisation d'un nom de domaine est possible :

ntp server srv-ntp.domaine.lan

Préconisation R54

no logging console

Préconisation R69

service password-encryption

Préconisation R70

no ip domain lookup
no cdp run
no service dhcp

no ip bootp server
no ip finger
no service finger
no service pad
no ip source-route

Sur interface WAN :

no cdp enable
no ip redirects
no ip unreachables
no ip directed-broadcast

line con 0
login local
end

no license smart enable

no call-home   
no service call-home

no service password-recovery

Valable uniquement sur les “Cisco ISR 1100 Series”

Reportez-vous à ce tableau pour connaitre le numéro du subslot : https://www.cisco.com/c/en/us/td/docs/routers/access/1100/software/configuration/xe-16-7/cisco_1100_series_swcfg_xe_16_7_x/cisco_1100_series_swcfg_chapter_01010.html#concept_jtj_gzl_1bb

hw-module subslot 0/4 shutdown unpowered

Dans la configuration d'une interface, ces commandes permettent :

• la connexion d'un seul équipement
• l'apprentissage automatique de l'équipement connecté
• l'abandon des paquets en cas de violation (par défaut : l'interface est désactivée)

switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation protect