informatique:enterasys
Differences
This shows you the differences between two versions of the page.
Next revision | Previous revisionNext revisionBoth sides next revision | ||
informatique:enterasys [2017/06/20 10:32] – créée pteu | informatique:enterasys [2021/04/27 06:54] – [Sécurité des mots de passe] pteu | ||
---|---|---|---|
Line 1: | Line 1: | ||
======Remarques générales====== | ======Remarques générales====== | ||
- | La marque Enterasys a été rachetée par Extreme Networks il y a quelques temps déjà, mais certaines gammes d' | + | La marque Enterasys a été rachetée par Extreme Networks il y a quelques temps déjà, mais certaines gammes d' |
Line 43: | Line 43: | ||
# en définissant une hauteur infinie on désactive les " | # en définissant une hauteur infinie on désactive les " | ||
set length 0 | set length 0 | ||
+ | </ | ||
+ | |||
+ | Pour lancer une commande (la prochaine qui sera saisie) plusieurs fois d' | ||
+ | <code bash> | ||
+ | # lancer 3x la commande "show port counter ge.1.1" | ||
+ | loop 3 1 | ||
+ | show port counter ge.1.1 | ||
</ | </ | ||
Line 51: | Line 58: | ||
* rw | * rw | ||
* ro | * ro | ||
- | Si les logins sont parlant quant à leur droits d' | + | Si les logins sont parlant quant à leur droits d' |
<code bash> | <code bash> | ||
# supprimer les comptes | # supprimer les comptes | ||
Line 67: | Line 74: | ||
Pour lister les comptes utilisateurs ainsi que la politique de mots de passe : | Pour lister les comptes utilisateurs ainsi que la politique de mots de passe : | ||
<code bash> | <code bash> | ||
- | show system login | + | show system login |
- | Password history size: 0 | + | Username |
- | Password aging : disabled | + | |
- | Username | + | admin super-user enabled |
- | + | toto read-only | |
- | admin | + | |
- | ro | + | |
- | rw read-write | + | |
</ | </ | ||
Line 81: | Line 85: | ||
<code bash> | <code bash> | ||
show users | show users | ||
+ | </ | ||
+ | |||
+ | Pour limiter le nombre de connexions simultanées par login (par défaut 0 = pas de limite), par exemple 2 pour " | ||
+ | <code bash> | ||
+ | set system login toto read-only enable simultaneous-logins 2 | ||
+ | </ | ||
+ | |||
+ | =====SSH===== | ||
+ | |||
+ | Seul le TELNET est activé par défaut ; pour activer les accès SSH : | ||
+ | <code bash> | ||
+ | set ssh enabled | ||
+ | </ | ||
+ | |||
+ | NB : le nombre maximal de connexions SSH simultanées est limité à 2 sur la majorité des modèles stackables comme les B/C/D. | ||
+ | =====HTTP===== | ||
+ | |||
+ | Pour activer/ | ||
+ | <code bash> | ||
+ | set webview enable/ | ||
+ | |||
+ | # pour activer le HTTPS | ||
+ | set ssl enable/ | ||
</ | </ | ||
Line 97: | Line 124: | ||
set logout 160 | set logout 160 | ||
</ | </ | ||
+ | |||
+ | =====Sécurité des mots de passe===== | ||
+ | |||
+ | On peut définir une politique de sécurité des mots de passe afin qu'ils ne soient pas trop faibles et changés régulièrement : | ||
+ | <code bash> | ||
+ | # définir une longueur de mot de passe à 14 caractères minimum | ||
+ | # et imposer qu'ils contiennent au moins un caractère minuscule, majuscule, spécial et un chiffre | ||
+ | set system password length 14 | ||
+ | set system password min-required-chars lowercase 1 uppercase 1 numeric 1 special 1 | ||
+ | |||
+ | # enregistrer les (0-10) précédents mots de passe | ||
+ | set system password history 3 | ||
+ | |||
+ | # pour interdir la réutilisation d'une sous-chaine déjà présente dans un ancien mot de passe | ||
+ | # et interdire la répétition de plus de 3 fois le même caractère | ||
+ | set system password substring-match-len 10 allow-repeating-chars 3 | ||
+ | |||
+ | # forcer le changement des mots de passe tous les ans | ||
+ | set system password aging 365 | ||
+ | </ | ||
+ | |||
+ | Vérification : | ||
+ | <code bash> | ||
+ | show system password | ||
+ | </ | ||
+ | |||
=====CDP/ | =====CDP/ | ||
Line 107: | Line 160: | ||
# afficher les voisins détectés en CDP/LLDP sur le même segment ethernet | # afficher les voisins détectés en CDP/LLDP sur le même segment ethernet | ||
show neighbors | show neighbors | ||
+ | |||
+ | # activer le LLDP sur le port tg.1.1 seulement en réception | ||
+ | set lldp port status rx-enable tg.1.1 | ||
</ | </ | ||
Line 117: | Line 173: | ||
# activer les logs sur la console et dans un fichier (current.log) | # activer les logs sur la console et dans un fichier (current.log) | ||
set logging local console enable file enable | set logging local console enable file enable | ||
+ | </ | ||
+ | |||
+ | Voir les paramètres de logging par défaut : | ||
+ | <code bash> | ||
+ | show logging defaults | ||
</ | </ | ||
Line 131: | Line 192: | ||
</ | </ | ||
- | Pour logguer | + | Rappel : |
+ | * la **severity** est une échelle de 1 à 8 indiquant le niveau de debug (du moins au plus verbeux) : 1 (emergencies), | ||
+ | * la **facility** sert à identifier | ||
+ | |||
+ | Pour envoyer les logs locaux vers un serveur TFTP : | ||
<code bash> | <code bash> | ||
- | set linkflap portstate enable | + | copy logs/ |
</ | </ | ||
+ | |||
+ | ====current.log==== | ||
+ | |||
+ | Le **current.log** contient les logs détaillés du système ; il n'est consultable qu'en l' | ||
+ | Dans le cas d'un stack il retourne séquentiellement les logs de chaque membre. | ||
+ | <code bash> | ||
+ | <134> JAN 19 05:25:17 STK1 BOOT[268434944]: | ||
+ | | ||
+ | </ | ||
+ | Dans cet exemple, le '' | ||
+ | |||
+ | ====Logguer les commandes==== | ||
+ | |||
+ | Depuis la version 06.61 il existe la directive '' | ||
+ | <code bash> | ||
+ | set logging local console enable file enable sfile enable | ||
+ | </ | ||
+ | |||
+ | |||
+ | =====Password recovery===== | ||
+ | |||
+ | Sur les séries B et C : il y a un petit trou à l' | ||
+ | |||
+ | Il n'y a pas d' | ||
Line 164: | Line 253: | ||
show netstat | show netstat | ||
</ | </ | ||
+ | |||
+ | =====Rebooter un slot===== | ||
+ | |||
+ | Rebooter/ | ||
+ | <code bash> | ||
+ | reset nemcpu < | ||
+ | # ex : | ||
+ | reset nemcpu 4.1 (mod 4, cpu 1) | ||
+ | </ | ||
+ | |||
=====Configurer l' | =====Configurer l' | ||
Line 177: | Line 276: | ||
set sntp server 10.1.11.24 precedence 2 | set sntp server 10.1.11.24 precedence 2 | ||
set sntp server 10.1.11.108 | set sntp server 10.1.11.108 | ||
+ | </ | ||
+ | |||
+ | =====Boot Menu===== | ||
+ | |||
+ | Le boot menu est le menu minimaliste auquel on accède avant le chargement du firmware (un peu comme le BIOS d'un PC). Il permet des opérations de dépannage et de recovery notamment. | ||
+ | |||
+ | On y accède pendant les premières secondes de boot en tapant 2 (par exemple sur un D2G) : | ||
+ | <code bash> | ||
+ | Enterasys D2-Series Boot Code... | ||
+ | SDRAM Circuit Test of 255MB | ||
+ | 100% | ||
+ | |||
+ | |||
+ | Version 01.00.46 12-09-2010 | ||
+ | |||
+ | Computing MD5 Checksum of operational code... | ||
+ | Select an option. If no selection in 2 seconds then | ||
+ | operational code will start. | ||
+ | |||
+ | 1 - Start operational code. | ||
+ | 2 - Start Boot Menu. | ||
+ | Select (1, 2): | ||
+ | </ | ||
+ | |||
+ | Puis un mot de passe vous est demandé ; par défaut c'est " | ||
+ | |||
+ | Ensuite s' | ||
+ | <code bash> | ||
+ | Boot Menu Version 01.00.46 12-09-2010 | ||
+ | |||
+ | |||
+ | Options available | ||
+ | 1 - Start operational code | ||
+ | 2 - Change baud rate | ||
+ | 3 - Retrieve event log using XMODEM (64KB). | ||
+ | 4 - Load new operational code using XMODEM | ||
+ | 5 - Display operational code vital product data | ||
+ | 6 - Update Boot Code | ||
+ | 7 - Delete operational code | ||
+ | 8 - Reset the system | ||
+ | 9 - Restore Configuration to factory defaults (delete config files) | ||
+ | 10 - Set new Boot Code password | ||
</ | </ | ||
Line 223: | Line 364: | ||
# 1) récupération de la sauvegarde sur le serveur TFTP | # 1) récupération de la sauvegarde sur le serveur TFTP | ||
copy tftp:// | copy tftp:// | ||
- | # 2) application de celle-ci | + | # 2) application de celle-ci |
configure configs/ | configure configs/ | ||
+ | </ | ||
+ | |||
+ | =====MAJ du firmware===== | ||
+ | |||
+ | Même procédure que pour importer une conf via TFTP ; puis modifier l' | ||
+ | <code bash> | ||
+ | # sur les Matrix | ||
+ | copy tftp:// | ||
+ | # sur les B/C/D series | ||
+ | copy tftp:// | ||
+ | |||
+ | set boot system DFE-P-61208-0003 | ||
+ | </ | ||
+ | |||
+ | Si plus de place (//Error: No space left on the device. Please remove backup file//), supprimer une ancienne image : | ||
+ | <code bash> | ||
+ | dir | ||
+ | delete d2-series_01.00.00.0029 | ||
</ | </ | ||
Line 230: | Line 389: | ||
======Debug/ | ======Debug/ | ||
+ | Commandes à saisir pour un autodiagnostique complet (à envoyer au support le cas échéant) : | ||
+ | <code bash> | ||
+ | show logging buffer | ||
+ | show support | ||
+ | </ | ||
+ | source : https:// | ||
+ | |||
+ | Lister les flux sur les ports ten gig : | ||
+ | <code bash> | ||
+ | show flowlimit stats tg.*.* | ||
+ | </ | ||
+ | |||
+ | Afficher les compteurs et l' | ||
+ | <code bash> | ||
+ | show rmon history interval 30sec wide | ||
+ | </ | ||
======Gestion ports/ | ======Gestion ports/ | ||
Line 314: | Line 489: | ||
<code bash> | <code bash> | ||
- | show rmon stats ge.2.65 | ||
show port counters ge.2.65 [switch] | show port counters ge.2.65 [switch] | ||
+ | show rmon stats ge.2.65 | ||
+ | </ | ||
+ | |||
+ | Pour voir les infos de rmon sous forme de liste, par port : | ||
+ | <code bash> | ||
+ | show rmon history interval 30sec wide | ||
+ | Interface | ||
+ | ---------- ----- ---- -------------------- -------------------- ---------- ---------- ---------- ---------- ---------- ---------- ---------- ---------- ---------- --------- | ||
+ | tg.2.1 | ||
+ | tg.2.2 | ||
+ | tg.2.3 | ||
+ | tg.2.4 | ||
+ | tg.2.5 | ||
+ | t | ||
</ | </ | ||
Line 322: | Line 510: | ||
clear port counter ge.2.72 | clear port counter ge.2.72 | ||
</ | </ | ||
+ | |||
+ | ===Terminologie des compteurs=== | ||
+ | |||
+ | * **In Discards** : Packets received by the device interface that were discarded even though no errors prevented them from being delivered to a higher layer protocol (e.g., to free up buffer space in the device). | ||
+ | * **In Errors** : Packets received by the device interface that contained errors that prevented them from being delivered to a higher-layer protocol. | ||
+ | * **In Unknown** : Packets received by the device interface that were discarded because of an unknown or unsupported protocol. | ||
+ | * **Overruns** : inbound - lack of interface buffer | ||
+ | * **Out Discards** : outbound - lack of interface buffer (= buffer drop = quand le débit à émettre > débit de l' | ||
+ | * **Jabber** : trame > 1518 et ont une mauvaise FCS ou CRC ; peut être lié a un pb électrique sur une NIC | ||
+ | * **CRC** (Cyclic Redundancy Check) : pour détecter les erreurs de transmission/ | ||
+ | * **FCS** (Frame check sequence) : détection d' | ||
+ | * **Alignment** : le paquet ne contient pas un nb de bit multiple de 8 OU contient une //FCS error// | ||
+ | NB : en 802.3 les erreurs devraient être < 10^-8, | ||
+ | * **Undersize** ou **Runt** : trame < 64 octets | ||
+ | * **Long** : taille trame entre 1518 et 6000 octets | ||
+ | * **Oversize**, | ||
+ | * **Dribble** : trame > 1518 mais qui peut être traité quand même | ||
+ | |||
+ | * **Congestion** : port egress congestion statistics (dropped packets) | ||
+ | * **Jam** : utiliser pour prévenir qu'il y a collision. Peut être utiliser en cas de congestion pour "back pressure" | ||
====Agrégats==== | ====Agrégats==== | ||
Line 346: | Line 554: | ||
show port lacp port ge.1.25 status detail | show port lacp port ge.1.25 status detail | ||
show port lacp port ge.1.24 status summary | show port lacp port ge.1.24 status summary | ||
+ | </ | ||
+ | |||
+ | ===Baisser les timers=== | ||
+ | |||
+ | Chaque lien appartenant à un agrégat est testé par l' | ||
+ | |||
+ | Pour baisser ces timers à 1 seconde (pour une détection en 3 secondes), passer la commande suivante sur chaque port physique (et sur les 2 switchs) : | ||
+ | <code bash> | ||
+ | # exemple avec les ports tg.2.1 et tg.3.1 sur un premier switch | ||
+ | set port lacp port tg.2.1, | ||
+ | </ | ||
+ | |||
+ | ====Linkflap==== | ||
+ | |||
+ | Le flapping est le fait de changer d' | ||
+ | |||
+ | <code bash> | ||
+ | # afficher la configuration actuelle (des ports compatibles avec la fonctionnalité) | ||
+ | show linkflap parameters | ||
+ | </ | ||
+ | |||
+ | Mise en place d'une surveillance : | ||
+ | <code bash> | ||
+ | # activer la fonction globalement | ||
+ | set linkflap globalstate enable | ||
+ | |||
+ | # définir l' | ||
+ | set linkflap interval ge.*.* 10 | ||
+ | # défini le seuil de link DOWN autorisés par intervalle de comptage | ||
+ | set linkflap threshold ge.*.* 20 | ||
+ | |||
+ | # définir l' | ||
+ | set linkflap action ge.*.* gensyslogentry | ||
+ | |||
+ | # afficher les compteurs de flaps | ||
+ | show linkflap metrics | ||
+ | </ | ||
+ | |||
+ | <code bash> | ||
+ | # logguer les UP/DOWN des ports | ||
+ | set linkflap portstate enable | ||
</ | </ | ||
Line 394: | Line 643: | ||
show mac address 00-11-88-4A-28-BF | show mac address 00-11-88-4A-28-BF | ||
</ | </ | ||
+ | |||
+ | ====MAC tracking==== | ||
+ | |||
+ | Dans le cas d'une boucle réseau ou d'un problème de niveau 2, avec de fortes latences, des remontées de logs de la forme : | ||
+ | <code bash> | ||
+ | Jun 21 09:58:45 10.12.93.197 HostDoS[2] Attack ( arpNd ) detected on vlan.0.90 [ InPort(tg.2.5) LEN(94) DA(33: | ||
+ | </ | ||
+ | ... et un '' | ||
+ | <code bash> | ||
+ | set movedaddrtrap enable | ||
+ | set movedaddrtrap *.*.* enable | ||
+ | show logging buffer | ||
+ | </ | ||
+ | |||
+ | Afficher la table ARP d'un switch : | ||
+ | <code bash> | ||
+ | show arp | ||
+ | </ | ||
+ | |||
=====MTU/ | =====MTU/ | ||
Line 406: | Line 674: | ||
</ | </ | ||
+ | =====Port mirroring===== | ||
+ | Pour copier le trafic du port ge.1.1 vers le port ge.1.2 : | ||
+ | <code bash> | ||
+ | set port mirroring create ge.1.1 ge.1.2 | ||
+ | |||
+ | # déconfiguration | ||
+ | clear port mirroring ge.1.1 ge.1.2 | ||
+ | </ | ||
======Spanning-tree====== | ======Spanning-tree====== | ||
- | ======Access-list====== | + | |
- | ======Routage====== | + | Par défaut le MSTP est activé, mais on peut forcer en RSTP ou " |
+ | <code bash> | ||
+ | show spantree version | ||
+ | show spantree stats | ||
+ | |||
+ | # afficher les ports actifs en plus (commandes équivalentes) | ||
+ | show spantree stats active | ||
+ | show spantree stats port *.*.* active | ||
+ | </ | ||
+ | |||
+ | =====Edge ports==== | ||
+ | |||
+ | Un port edge est un port sur lequel se connecte un équipement qui n'est pas un switch et avec lequel le switch courant n'aura pas à dialoguer en STP. Il n'est pas protégé contre les boucles mais a l' | ||
+ | |||
+ | <code bash> | ||
+ | # Définir un port comme edge (= feuille = qui n'est pas un switch) | ||
+ | # cela permet une meilleur réactivité lors du branchement d'un équipement | ||
+ | set spantree adminedge ge.1.1 true | ||
+ | # ça n'est pas nécessairement utile car la fonction autoedge est activée par défaut : | ||
+ | show spantree autoedge | ||
+ | Auto Edge is set to enable | ||
+ | # vérif | ||
+ | show spantree adminedge port ge.1.1 | ||
+ | Port ge.1.1 | ||
+ | |||
+ | # Bloquer les ports edge qui envoient des BPDUs | ||
+ | # (cas des PCs qui ont un bridge br0 (ex : libvirt) sans avoir désactivé le STP) | ||
+ | set spantree spanguard enabled | ||
+ | </ | ||
+ | |||
+ | =====Debug===== | ||
+ | (uniquement sur les châssis Matrix) : | ||
+ | <code bash> | ||
+ | show spantree debug | ||
+ | show spantree debug port tg.7.1 | ||
+ | # view if high counts on "Ports with Received TC BPDUs" | ||
+ | show spantree debug port *.*.* active | ||
+ | show spantree stats port *.*.* sid 0 | ||
+ | </ | ||
+ | |||
+ | Pour activer/ | ||
+ | <code bash> | ||
+ | # activer/ | ||
+ | set spantree enable / disable | ||
+ | |||
+ | # sur K/ | ||
+ | set spantree stpmode ieee8021 / none | ||
+ | # sur les séries BCD: | ||
+ | set spantree version { mstp / rstp / stpcompatible } | ||
+ | </ | ||
+ | |||
+ | Logger les events LoopProtect : | ||
+ | <code bash> | ||
+ | set spantree lptrapenable enable | ||
+ | </ | ||
+ | |||
+ | |||
+ | |||
+ | ======Access-lists====== | ||
+ | |||
+ | =====" | ||
+ | |||
+ | Les **router ACLs** permettent de filtrer du trafic forwardé (pas à destination de l' | ||
+ | |||
+ | * les ACLs standard permettent de filtrer en input et uniquement l' | ||
+ | * les ACLs utilisent des wildcard (des masques réseau inversés : masque=255.255.0.0 -> wildcard=0.0.255.255) | ||
+ | * par défaut elles se terminent toutes par un '' | ||
+ | * les ACLs et les policys utilisent le même composant matériel ; de ce fait on ne peut utiliser les unes sans désactiver les autres. | ||
+ | * pour créer des access-lists de type **IPv6** ou **MAC**, il faut activer le **mode IPv6** : '' | ||
+ | |||
+ | Pour créer une ACL, créer juste une première règle : '' | ||
+ | |||
+ | ===Opérations sur les ACLs=== | ||
+ | |||
+ | Par défaut si aucune action n'est précisée, la ligne saisie sera ajoutée à la fin de l' | ||
+ | |||
+ | <code bash> | ||
+ | # ajouter une ligne à l'ACL 67 | ||
+ | access-list 67 deny any | ||
+ | |||
+ | # supprimer une ou un groupe de lignes | ||
+ | # ex : supprimer la première ligne | ||
+ | no access-list 67 1 | ||
+ | # supprimer les lignes de 1 à 5 | ||
+ | no access-list 67 1 5 | ||
+ | |||
+ | # Insérer une ligne en première position : | ||
+ | access-list 67 insert 1 permit 192.168.67.2 | ||
+ | |||
+ | # remplacer la première ligne | ||
+ | access-list 67 replace 1 permit 192.168.67.1 0.0.0.1 | ||
+ | |||
+ | # Déplacer des lignes ; | ||
+ | # par ex : insérer, devant la ligne n°1, les lignes comprises entre la 2nde et la 5ème ligne | ||
+ | access-list 67 move 1 2 5 | ||
+ | </ | ||
+ | |||
+ | Une fois l' | ||
+ | <code bash> | ||
+ | # activation sur une interface VLAN en " | ||
+ | # NB : l' | ||
+ | interface vlan 67 | ||
+ | ip access-group 1 in | ||
+ | |||
+ | # activation sur les ports physiques ge.1.1 à ge.1.12 | ||
+ | access-list interface 67 ge.1.1-12 | ||
+ | </ | ||
+ | |||
+ | On peut préciser les paramètre '' | ||
+ | |||
+ | |||
+ | ====ACLs étendues==== | ||
+ | |||
+ | Tout fonctionne comme les ACLs standard, mais la syntaxe des règles est plus fine pour un filtrage plus précis : on peut filtrer par protocole (ip proto), ports et couple IP source/ | ||
+ | <code bash> | ||
+ | # Syntaxe : | ||
+ | access-list access-list-number {deny | permit} protocol source [source-wildcard] [eq port] \ | ||
+ | | ||
+ | | dscp dscp ] [assign-queue queue-id] | ||
+ | |||
+ | # ex : permettre au réseau 10.0.0.0/24 de faire du SSH (tcp/22) vers n' | ||
+ | access-list 101 permit tcp 10.0.0.0 0.0.0.255 any eq 22 | ||
+ | </ | ||
+ | |||
+ | Avec : | ||
+ | * protocol parmi '' | ||
+ | * port le port entre 0 et 65535 (si UDP ou TCP) | ||
+ | * precedence la valeur du champ ip-precedence (entre 0 et 7) | ||
+ | * ToS : la valeur du ToS, entre '' | ||
+ | * dscp entre 0 et 63 ou égal à : '' | ||
+ | |||
+ | ====MAC-based ACLs==== | ||
+ | |||
+ | Ces ACLs filtrent au niveau des adresses MAC (Ethernet), uniquement en **mode router** et après activation du mode ipv6 ('' | ||
+ | <code bash> | ||
+ | access-list mac < | ||
+ | | ||
+ | </ | ||
+ | avec : | ||
+ | * NOM_ACL le nom de l' | ||
+ | * Ethertype d'une valeur comprise entre 0x0600 et 0xFFFF, ou valant un mot-clé parmi : '' | ||
+ | |||
+ | ====IPv6 ACL==== | ||
+ | |||
+ | Comme les //MAC-based ACLs// il faut activer le mode ipv6mode pour utiliser. | ||
+ | |||
+ | Syntaxe : | ||
+ | <code bash> | ||
+ | access-list ipv6 name {deny | permit} protocol {srcipv6-addr/ | ||
+ | | ||
+ | </ | ||
+ | |||
+ | |||
+ | =====Service ACLs===== | ||
+ | |||
+ | Les **service ACLs** permettent de filtrer les accès au switch. | ||
+ | |||
+ | <code bash> | ||
+ | # Syntaxe : | ||
+ | set system service-acl name {permit | deny} [ip-source ip-address [wildcard wildcard-bits] \ | ||
+ | | ipv6-source ipv6-address [wildcard / | ||
+ | | ||
+ | |||
+ | # ex : ne permettre l' | ||
+ | set system service-acl protect-sw permit port ge.1.1 | ||
+ | set system service-acl protect-sw permit port ge.1.2 | ||
+ | # ne permttre l' | ||
+ | set system service-acl protect-sw permit service ssh ip-source 10.0.0.1 \ | ||
+ | | ||
+ | |||
+ | # application de l' | ||
+ | set system service-class protect-sw | ||
+ | |||
+ | # Vérification | ||
+ | show system service-class | ||
+ | | ||
+ | |||
+ | # Désactivation de la protection | ||
+ | clear system service-class protect-sw | ||
+ | |||
+ | # suppression de l' | ||
+ | clear system service-acl protect-sw | ||
+ | </ | ||
+ | =====Filtrer les IPv6===== | ||
+ | |||
+ | src : https:// | ||
+ | |||
+ | <code bash> | ||
+ | set policy profile 1 name ICMP-IPv6 | ||
+ | set policy rule 1 ether 0x86dd mask 16 drop | ||
+ | # appliquer sur chaque port | ||
+ | set policy rule admin-profile port ge.1.1 mask 16 port-string ge.1.1 admin-pid 1 | ||
+ | # ou plus simple nb : à tester car plus simple ! | ||
+ | set policy port *.*.* 1 | ||
+ | |||
+ | show policy profile 1 -verbose | ||
+ | |||
+ | # retirer la policy d'un port | ||
+ | set policy port tg.3.3 0 | ||
+ | </ | ||
+ | |||
======Stacking====== | ======Stacking====== | ||
- | ======Gestion centralisée | + | |
+ | Fonctionnement du stacking ([[https:// | ||
+ | * un switch master, les autres " | ||
+ | * seul le port console du master est actif (c'est le seul a avoir la diode " | ||
+ | * les critères d' | ||
+ | < | ||
+ | Previously assigned / elected management unit | ||
+ | User-assigned priority | ||
+ | Hardware preference level | ||
+ | Highest MAC Address | ||
+ | </ | ||
+ | |||
+ | Procédure de configuration : | ||
+ | * les commutateurs doivent avoir le même firmware, la même licence et une conf " | ||
+ | * brancher tous les câbles de stack lorsque tous les switchs sont encore éteints | ||
+ | * allumer les switchs un par un, en vérifiant le bon fonctionnement de chacun avant d' | ||
+ | * les IDs sont attribués dans l' | ||
+ | * se logguer en CLI (sur le master) et vérifier le stack avec un "show switch" | ||
+ | |||
+ | Pour changer le switch master d'un stack : | ||
+ | <code bash> | ||
+ | set switch movemanagement < | ||
+ | </ | ||
+ | |||
+ | Pour changer le " | ||
+ | <code bash> | ||
+ | set switch member | ||
+ | </ | ||
+ | |||
+ | Vérifier les erreurs sur les ports de stack : | ||
+ | <code bash> | ||
+ | show switch stack-ports < | ||
+ | </ | ||
+ | |||
+ | Faire une bascule (changer de master) (provoque une coupure de 30-40 secondes) | ||
+ | <code bash> | ||
+ | set switch movemanagement [from-unit] [to-unit] | ||
+ | </ | ||
+ | |||
+ | =====Remplacer un membre défectueux===== | ||
+ | |||
+ | Pour remplacer un membre défectueux de la stack : | ||
+ | * éteindre le membre défectueux | ||
+ | * débrancher tous les câbles de celui-ci (alim, stack-port et brassage) | ||
+ | * déracker le switch et le remplacer par un de même modèle (NB : surveiller la version de firmware aussi : il doit avoir la même famille (6.42 ou 6.61) que la stack) | ||
+ | * racker et rebrancher tous les câbles sur le nouveau membre, l'alim en dernier | ||
+ | * au redémarrage il doit être reconnu et avoir le statut " | ||
+ | |||
+ | =====Ajouter un nouveau membre===== | ||
+ | |||
+ | Pour ajouter un switch dans une stack déjà en place, on peut recopier le firmware de la stack sur le nouveau membre nouvellement ajouté (normalement cela se fait tout seul). Le seul prérequis que sa version soit du "même côté" | ||
+ | <code bash> | ||
+ | set switch copy-fw destination-system < | ||
+ | reset < | ||
+ | </ | ||
+ | |||
+ | =====Retirer un membre===== | ||
+ | |||
+ | <WRAP center round important 60%> | ||
+ | NB : bien vérifier qu'on est en mode loop (double connexion des switchs) car si les membres sont juste chainés, en retirer un membre risque de couper la stack en 2. | ||
+ | |||
+ | NB2 : si le membre à retirer est le master de la pile, la réélection (manuelle ou automatique) provoquera une coupure temporaire | ||
+ | </ | ||
+ | |||
+ | Pour retirer définitivement un switch d'une pile : | ||
+ | * débrancher puis débrasser (ports RJ et ports stack) le switch qui doit être retirer | ||
+ | * supprimer la configuration qui s'y rapporte : | ||
+ | <code bash> | ||
+ | clear switch member < | ||
+ | </ | ||
+ | * reconnecter le port stack entre les 2 membres adjacents à celui qui doit être retirer pour retrouver une topologie en loop | ||
+ | |||
+ | Pour éviter d' | ||
+ | |||
+ | =====Renuméroter un membre===== | ||
+ | |||
+ | Lorsqu' | ||
+ | <code bash> | ||
+ | set switch < | ||
+ | |||
+ | # dans notre exemple : passer de 3 à 1 | ||
+ | set switch 3 renumber 1 | ||
+ | </ | ||
+ | NB : cela a pour effet de rebooter le switch. | ||
+ | ======Routage====== | ||
+ | |||
+ | Pour passer des commandes quand le switch est en mode routeur, par exemple pour voir la table ARP : | ||
+ | <code bash> | ||
+ | C5(su)-> | ||
+ | C5(su)-> | ||
+ | C5(su)-> | ||
+ | </ | ||
+ | |||
+ | =====helper address===== | ||
+ | |||
+ | Pour transférer les paquets broadcastés dans un réseau vers une machine dans un autre réseau (par exemple pour relayer les requêtes DHCP), il faut configurer les "ip helper" | ||
+ | <code bash> | ||
+ | router | ||
+ | enable | ||
+ | configure | ||
+ | |||
+ | interface vlan 1 | ||
+ | ip address 172.16.1.254 255.255.0.0 | ||
+ | ip helper-address 172.16.1.1 | ||
+ | no shutdown | ||
+ | exit | ||
+ | </ | ||
+ | ======Métrologie/ | ||
+ | |||
+ | Créer un accès rapide à la communauté " | ||
+ | <code bash> | ||
+ | set snmp community supervSNMP | ||
+ | set snmp group groupRO user supervSNMP security-model v2c | ||
+ | set snmp access groupRO security-model v2c exact read All write none notify All | ||
+ | </ | ||
+ | |||
+ | OIDs utiles : | ||
+ | <code bash> | ||
+ | DISMAN-EVENT-MIB:: | ||
+ | |||
+ | # trouver le port d'une adresse MAC : après l' | ||
+ | # ex 00: | ||
+ | .1.3.6.1.2.1.17.4.3.1.2.0.38.185.210.166.225 | ||
+ | |||
+ | SNMPv2-SMI:: | ||
+ | |||
+ | # séries B-C-D | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.2.1.1 | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3.1.1 | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.4.1.1 | ||
+ | |||
+ | # Matrix | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3 | ||
+ | |||
+ | # Bornes WIFI | ||
+ | .1.3.6.1.4.1.5624.1.2.6.5.2.0 | ||
+ | </ | ||
+ | |||
======Tips====== | ======Tips====== | ||
+ | |||
+ | =====portadmin et portenable===== | ||
+ | |||
+ | La différence entre **portadmin** et **portenable** (ce dernier n' | ||
+ | * '' | ||
+ | * '' | ||
+ | -> C'est utile dans le cadre d'un agrégat, pour éviter qu'un port ne cause "en dehors" | ||
+ | |||
+ | source : [[https:// | ||
+ | ======Ressources====== | ||
+ | |||
+ | * [[https:// | ||
+ |
informatique/enterasys.txt · Last modified: 2022/12/07 15:25 by pteu