informatique:enterasys
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
informatique:enterasys [2017/06/29 09:01] – [Logging] Logguer les commandes passées pteu | informatique:enterasys [2021/04/27 06:54] – [Sécurité des mot de passe] pteu | ||
---|---|---|---|
Line 1: | Line 1: | ||
======Remarques générales====== | ======Remarques générales====== | ||
- | La marque Enterasys a été rachetée par Extreme Networks il y a quelques temps déjà, mais certaines gammes d' | + | La marque Enterasys a été rachetée par Extreme Networks il y a quelques temps déjà, mais certaines gammes d' |
Line 43: | Line 43: | ||
# en définissant une hauteur infinie on désactive les " | # en définissant une hauteur infinie on désactive les " | ||
set length 0 | set length 0 | ||
+ | </ | ||
+ | |||
+ | Pour lancer une commande (la prochaine qui sera saisie) plusieurs fois d' | ||
+ | <code bash> | ||
+ | # lancer 3x la commande "show port counter ge.1.1" | ||
+ | loop 3 1 | ||
+ | show port counter ge.1.1 | ||
</ | </ | ||
Line 51: | Line 58: | ||
* rw | * rw | ||
* ro | * ro | ||
- | Si les logins sont parlant quant à leur droits d' | + | Si les logins sont parlant quant à leur droits d' |
<code bash> | <code bash> | ||
# supprimer les comptes | # supprimer les comptes | ||
Line 67: | Line 74: | ||
Pour lister les comptes utilisateurs ainsi que la politique de mots de passe : | Pour lister les comptes utilisateurs ainsi que la politique de mots de passe : | ||
<code bash> | <code bash> | ||
- | show system login | + | show system login |
- | Password history size: 0 | + | Username |
- | Password aging : disabled | + | |
- | Username | + | admin super-user enabled |
- | + | toto read-only | |
- | admin | + | |
- | ro | + | |
- | rw read-write | + | |
</ | </ | ||
Line 83: | Line 87: | ||
</ | </ | ||
+ | Pour limiter le nombre de connexions simultanées par login (par défaut 0 = pas de limite), par exemple 2 pour " | ||
+ | <code bash> | ||
+ | set system login toto read-only enable simultaneous-logins 2 | ||
+ | </ | ||
=====SSH===== | =====SSH===== | ||
Line 91: | Line 99: | ||
</ | </ | ||
+ | NB : le nombre maximal de connexions SSH simultanées est limité à 2 sur la majorité des modèles stackables comme les B/C/D. | ||
+ | =====HTTP===== | ||
+ | |||
+ | Pour activer/ | ||
+ | <code bash> | ||
+ | set webview enable/ | ||
+ | |||
+ | # pour activer le HTTPS | ||
+ | set ssl enable/ | ||
+ | </ | ||
=====Sécurité du login===== | =====Sécurité du login===== | ||
Line 106: | Line 124: | ||
set logout 160 | set logout 160 | ||
</ | </ | ||
+ | |||
+ | =====Sécurité des mots de passe===== | ||
+ | |||
+ | On peut définir une politique de sécurité des mots de passe afin qu'ils ne soient pas trop faibles et changés régulièrement : | ||
+ | <code bash> | ||
+ | # définir une longueur de mot de passe à 14 caractères minimum | ||
+ | # et imposer qu'ils contiennent au moins un caractère minuscule, majuscule, spécial et un chiffre | ||
+ | set system password length 14 | ||
+ | set system password min-required-chars lowercase 1 uppercase 1 numeric 1 special 1 | ||
+ | |||
+ | # enregistrer les (0-10) précédents mots de passe | ||
+ | set password history 3 | ||
+ | |||
+ | # pour interdir la réutilisation d'une sous-chaine déjà présente dans un ancien mot de passe | ||
+ | # et interdire la répétition de plus de 3 fois le même caractère | ||
+ | set system password substring-match-len 10 allow-repeating-chars 3 | ||
+ | |||
+ | # forcer le changement des mots de passe tous les ans | ||
+ | set system password aging 365 | ||
+ | </ | ||
+ | |||
+ | Vérification : | ||
+ | <code bash> | ||
+ | show system password | ||
+ | </ | ||
+ | |||
=====CDP/ | =====CDP/ | ||
Line 116: | Line 160: | ||
# afficher les voisins détectés en CDP/LLDP sur le même segment ethernet | # afficher les voisins détectés en CDP/LLDP sur le même segment ethernet | ||
show neighbors | show neighbors | ||
+ | |||
+ | # activer le LLDP sur le port tg.1.1 seulement en réception | ||
+ | set lldp port status rx-enable tg.1.1 | ||
</ | </ | ||
Line 126: | Line 173: | ||
# activer les logs sur la console et dans un fichier (current.log) | # activer les logs sur la console et dans un fichier (current.log) | ||
set logging local console enable file enable | set logging local console enable file enable | ||
+ | </ | ||
+ | |||
+ | Voir les paramètres de logging par défaut : | ||
+ | <code bash> | ||
+ | show logging defaults | ||
</ | </ | ||
Line 140: | Line 192: | ||
</ | </ | ||
- | Pour logguer | + | Rappel : |
+ | * la **severity** est une échelle de 1 à 8 indiquant le niveau de debug (du moins au plus verbeux) : 1 (emergencies), | ||
+ | * la **facility** sert à identifier | ||
+ | |||
+ | Pour envoyer les logs locaux vers un serveur TFTP : | ||
<code bash> | <code bash> | ||
- | set linkflap portstate enable | + | copy logs/ |
+ | </ | ||
+ | |||
+ | ====current.log==== | ||
+ | |||
+ | Le **current.log** contient les logs détaillés du système ; il n'est consultable qu'en l' | ||
+ | Dans le cas d'un stack il retourne séquentiellement les logs de chaque membre. | ||
+ | <code bash> | ||
+ | <134> JAN 19 05:25:17 STK1 BOOT[268434944]: | ||
+ | | ||
</ | </ | ||
+ | Dans cet exemple, le '' | ||
====Logguer les commandes==== | ====Logguer les commandes==== | ||
Line 155: | Line 221: | ||
=====Password recovery===== | =====Password recovery===== | ||
- | Sur un B2, B3 et d' | + | Sur les séries B et C : il y a un petit trou à l' |
Il n'y a pas d' | Il n'y a pas d' | ||
Line 210: | Line 276: | ||
set sntp server 10.1.11.24 precedence 2 | set sntp server 10.1.11.24 precedence 2 | ||
set sntp server 10.1.11.108 | set sntp server 10.1.11.108 | ||
+ | </ | ||
+ | |||
+ | =====Boot Menu===== | ||
+ | |||
+ | Le boot menu est le menu minimaliste auquel on accède avant le chargement du firmware (un peu comme le BIOS d'un PC). Il permet des opérations de dépannage et de recovery notamment. | ||
+ | |||
+ | On y accède pendant les premières secondes de boot en tapant 2 (par exemple sur un D2G) : | ||
+ | <code bash> | ||
+ | Enterasys D2-Series Boot Code... | ||
+ | SDRAM Circuit Test of 255MB | ||
+ | 100% | ||
+ | |||
+ | |||
+ | Version 01.00.46 12-09-2010 | ||
+ | |||
+ | Computing MD5 Checksum of operational code... | ||
+ | Select an option. If no selection in 2 seconds then | ||
+ | operational code will start. | ||
+ | |||
+ | 1 - Start operational code. | ||
+ | 2 - Start Boot Menu. | ||
+ | Select (1, 2): | ||
+ | </ | ||
+ | |||
+ | Puis un mot de passe vous est demandé ; par défaut c'est " | ||
+ | |||
+ | Ensuite s' | ||
+ | <code bash> | ||
+ | Boot Menu Version 01.00.46 12-09-2010 | ||
+ | |||
+ | |||
+ | Options available | ||
+ | 1 - Start operational code | ||
+ | 2 - Change baud rate | ||
+ | 3 - Retrieve event log using XMODEM (64KB). | ||
+ | 4 - Load new operational code using XMODEM | ||
+ | 5 - Display operational code vital product data | ||
+ | 6 - Update Boot Code | ||
+ | 7 - Delete operational code | ||
+ | 8 - Reset the system | ||
+ | 9 - Restore Configuration to factory defaults (delete config files) | ||
+ | 10 - Set new Boot Code password | ||
</ | </ | ||
Line 289: | Line 397: | ||
source : https:// | source : https:// | ||
+ | Lister les flux sur les ports ten gig : | ||
+ | <code bash> | ||
+ | show flowlimit stats tg.*.* | ||
+ | </ | ||
+ | Afficher les compteurs et l' | ||
+ | <code bash> | ||
+ | show rmon history interval 30sec wide | ||
+ | </ | ||
======Gestion ports/ | ======Gestion ports/ | ||
Line 373: | Line 489: | ||
<code bash> | <code bash> | ||
- | show rmon stats ge.2.65 | ||
show port counters ge.2.65 [switch] | show port counters ge.2.65 [switch] | ||
+ | show rmon stats ge.2.65 | ||
+ | </ | ||
+ | |||
+ | Pour voir les infos de rmon sous forme de liste, par port : | ||
+ | <code bash> | ||
+ | show rmon history interval 30sec wide | ||
+ | Interface | ||
+ | ---------- ----- ---- -------------------- -------------------- ---------- ---------- ---------- ---------- ---------- ---------- ---------- ---------- ---------- --------- | ||
+ | tg.2.1 | ||
+ | tg.2.2 | ||
+ | tg.2.3 | ||
+ | tg.2.4 | ||
+ | tg.2.5 | ||
+ | t | ||
</ | </ | ||
Line 381: | Line 510: | ||
clear port counter ge.2.72 | clear port counter ge.2.72 | ||
</ | </ | ||
+ | |||
+ | ===Terminologie des compteurs=== | ||
+ | |||
+ | * **In Discards** : Packets received by the device interface that were discarded even though no errors prevented them from being delivered to a higher layer protocol (e.g., to free up buffer space in the device). | ||
+ | * **In Errors** : Packets received by the device interface that contained errors that prevented them from being delivered to a higher-layer protocol. | ||
+ | * **In Unknown** : Packets received by the device interface that were discarded because of an unknown or unsupported protocol. | ||
+ | * **Overruns** : inbound - lack of interface buffer | ||
+ | * **Out Discards** : outbound - lack of interface buffer (= buffer drop = quand le débit à émettre > débit de l' | ||
+ | * **Jabber** : trame > 1518 et ont une mauvaise FCS ou CRC ; peut être lié a un pb électrique sur une NIC | ||
+ | * **CRC** (Cyclic Redundancy Check) : pour détecter les erreurs de transmission/ | ||
+ | * **FCS** (Frame check sequence) : détection d' | ||
+ | * **Alignment** : le paquet ne contient pas un nb de bit multiple de 8 OU contient une //FCS error// | ||
+ | NB : en 802.3 les erreurs devraient être < 10^-8, | ||
+ | * **Undersize** ou **Runt** : trame < 64 octets | ||
+ | * **Long** : taille trame entre 1518 et 6000 octets | ||
+ | * **Oversize**, | ||
+ | * **Dribble** : trame > 1518 mais qui peut être traité quand même | ||
+ | |||
+ | * **Congestion** : port egress congestion statistics (dropped packets) | ||
+ | * **Jam** : utiliser pour prévenir qu'il y a collision. Peut être utiliser en cas de congestion pour "back pressure" | ||
====Agrégats==== | ====Agrégats==== | ||
Line 405: | Line 554: | ||
show port lacp port ge.1.25 status detail | show port lacp port ge.1.25 status detail | ||
show port lacp port ge.1.24 status summary | show port lacp port ge.1.24 status summary | ||
+ | </ | ||
+ | |||
+ | ===Baisser les timers=== | ||
+ | |||
+ | Chaque lien appartenant à un agrégat est testé par l' | ||
+ | |||
+ | Pour baisser ces timers à 1 seconde (pour une détection en 3 secondes), passer la commande suivante sur chaque port physique (et sur les 2 switchs) : | ||
+ | <code bash> | ||
+ | # exemple avec les ports tg.2.1 et tg.3.1 sur un premier switch | ||
+ | set port lacp port tg.2.1, | ||
+ | </ | ||
+ | |||
+ | ====Linkflap==== | ||
+ | |||
+ | Le flapping est le fait de changer d' | ||
+ | |||
+ | <code bash> | ||
+ | # afficher la configuration actuelle (des ports compatibles avec la fonctionnalité) | ||
+ | show linkflap parameters | ||
+ | </ | ||
+ | |||
+ | Mise en place d'une surveillance : | ||
+ | <code bash> | ||
+ | # activer la fonction globalement | ||
+ | set linkflap globalstate enable | ||
+ | |||
+ | # définir l' | ||
+ | set linkflap interval ge.*.* 10 | ||
+ | # défini le seuil de link DOWN autorisés par intervalle de comptage | ||
+ | set linkflap threshold ge.*.* 20 | ||
+ | |||
+ | # définir l' | ||
+ | set linkflap action ge.*.* gensyslogentry | ||
+ | |||
+ | # afficher les compteurs de flaps | ||
+ | show linkflap metrics | ||
+ | </ | ||
+ | |||
+ | <code bash> | ||
+ | # logguer les UP/DOWN des ports | ||
+ | set linkflap portstate enable | ||
</ | </ | ||
Line 456: | Line 646: | ||
====MAC tracking==== | ====MAC tracking==== | ||
- | Activer | + | Dans le cas d'une boucle réseau ou d'un problème de niveau 2, avec de fortes latences, des remontées de logs de la forme : |
+ | <code bash> | ||
+ | Jun 21 09:58:45 10.12.93.197 HostDoS[2] Attack ( arpNd ) detected on vlan.0.90 [ InPort(tg.2.5) LEN(94) DA(33: | ||
+ | </ | ||
+ | ... et un '' | ||
<code bash> | <code bash> | ||
set movedaddrtrap enable | set movedaddrtrap enable | ||
Line 480: | Line 674: | ||
</ | </ | ||
+ | =====Port mirroring===== | ||
+ | Pour copier le trafic du port ge.1.1 vers le port ge.1.2 : | ||
+ | <code bash> | ||
+ | set port mirroring create ge.1.1 ge.1.2 | ||
+ | |||
+ | # déconfiguration | ||
+ | clear port mirroring ge.1.1 ge.1.2 | ||
+ | </ | ||
======Spanning-tree====== | ======Spanning-tree====== | ||
Line 487: | Line 689: | ||
show spantree version | show spantree version | ||
show spantree stats | show spantree stats | ||
- | # afficher les ports actifs en plus | + | |
+ | # afficher les ports actifs en plus (commandes équivalentes) | ||
show spantree stats active | show spantree stats active | ||
+ | show spantree stats port *.*.* active | ||
+ | </ | ||
+ | |||
+ | =====Edge ports==== | ||
+ | |||
+ | Un port edge est un port sur lequel se connecte un équipement qui n'est pas un switch et avec lequel le switch courant n'aura pas à dialoguer en STP. Il n'est pas protégé contre les boucles mais a l' | ||
+ | |||
+ | <code bash> | ||
+ | # Définir un port comme edge (= feuille = qui n'est pas un switch) | ||
+ | # cela permet une meilleur réactivité lors du branchement d'un équipement | ||
+ | set spantree adminedge ge.1.1 true | ||
+ | # ça n'est pas nécessairement utile car la fonction autoedge est activée par défaut : | ||
+ | show spantree autoedge | ||
+ | Auto Edge is set to enable | ||
+ | # vérif | ||
+ | show spantree adminedge port ge.1.1 | ||
+ | Port ge.1.1 | ||
- | # bloquer | + | # Bloquer |
- | # (attention aux PC qui ont un bridge br0 (ex : libvirt)) | + | # (cas des PCs qui ont un bridge br0 (ex : libvirt) |
set spantree spanguard enabled | set spantree spanguard enabled | ||
</ | </ | ||
- | Debug (uniquement sur les châssis Matrix) : | + | =====Debug===== |
+ | (uniquement sur les châssis Matrix) : | ||
<code bash> | <code bash> | ||
show spantree debug | show spantree debug | ||
Line 508: | Line 729: | ||
# activer/ | # activer/ | ||
set spantree enable / disable | set spantree enable / disable | ||
+ | |||
# sur K/ | # sur K/ | ||
set spantree stpmode ieee8021 / none | set spantree stpmode ieee8021 / none | ||
+ | # sur les séries BCD: | ||
+ | set spantree version { mstp / rstp / stpcompatible } | ||
</ | </ | ||
Line 519: | Line 743: | ||
- | ======Access-list====== | + | ======Access-lists====== |
+ | =====" | ||
+ | |||
+ | Les **router ACLs** permettent de filtrer du trafic forwardé (pas à destination de l' | ||
+ | |||
+ | * les ACLs standard permettent de filtrer en input et uniquement l' | ||
+ | * les ACLs utilisent des wildcard (des masques réseau inversés : masque=255.255.0.0 -> wildcard=0.0.255.255) | ||
+ | * par défaut elles se terminent toutes par un '' | ||
+ | * les ACLs et les policys utilisent le même composant matériel ; de ce fait on ne peut utiliser les unes sans désactiver les autres. | ||
+ | * pour créer des access-lists de type **IPv6** ou **MAC**, il faut activer le **mode IPv6** : '' | ||
+ | |||
+ | Pour créer une ACL, créer juste une première règle : '' | ||
+ | |||
+ | ===Opérations sur les ACLs=== | ||
+ | |||
+ | Par défaut si aucune action n'est précisée, la ligne saisie sera ajoutée à la fin de l'ACL. | ||
+ | |||
+ | <code bash> | ||
+ | # ajouter une ligne à l'ACL 67 | ||
+ | access-list 67 deny any | ||
+ | |||
+ | # supprimer une ou un groupe de lignes | ||
+ | # ex : supprimer la première ligne | ||
+ | no access-list 67 1 | ||
+ | # supprimer les lignes de 1 à 5 | ||
+ | no access-list 67 1 5 | ||
+ | |||
+ | # Insérer une ligne en première position : | ||
+ | access-list 67 insert 1 permit 192.168.67.2 | ||
+ | |||
+ | # remplacer la première ligne | ||
+ | access-list 67 replace 1 permit 192.168.67.1 0.0.0.1 | ||
+ | |||
+ | # Déplacer des lignes ; | ||
+ | # par ex : insérer, devant la ligne n°1, les lignes comprises entre la 2nde et la 5ème ligne | ||
+ | access-list 67 move 1 2 5 | ||
+ | </ | ||
+ | |||
+ | Une fois l' | ||
+ | <code bash> | ||
+ | # activation sur une interface VLAN en " | ||
+ | # NB : l' | ||
+ | interface vlan 67 | ||
+ | ip access-group 1 in | ||
+ | |||
+ | # activation sur les ports physiques ge.1.1 à ge.1.12 | ||
+ | access-list interface 67 ge.1.1-12 | ||
+ | </ | ||
+ | |||
+ | On peut préciser les paramètre '' | ||
+ | |||
+ | |||
+ | ====ACLs étendues==== | ||
+ | |||
+ | Tout fonctionne comme les ACLs standard, mais la syntaxe des règles est plus fine pour un filtrage plus précis : on peut filtrer par protocole (ip proto), ports et couple IP source/ | ||
+ | <code bash> | ||
+ | # Syntaxe : | ||
+ | access-list access-list-number {deny | permit} protocol source [source-wildcard] [eq port] \ | ||
+ | | ||
+ | | dscp dscp ] [assign-queue queue-id] | ||
+ | |||
+ | # ex : permettre au réseau 10.0.0.0/24 de faire du SSH (tcp/22) vers n' | ||
+ | access-list 101 permit tcp 10.0.0.0 0.0.0.255 any eq 22 | ||
+ | </ | ||
+ | |||
+ | Avec : | ||
+ | * protocol parmi '' | ||
+ | * port le port entre 0 et 65535 (si UDP ou TCP) | ||
+ | * precedence la valeur du champ ip-precedence (entre 0 et 7) | ||
+ | * ToS : la valeur du ToS, entre '' | ||
+ | * dscp entre 0 et 63 ou égal à : '' | ||
+ | |||
+ | ====MAC-based ACLs==== | ||
+ | |||
+ | Ces ACLs filtrent au niveau des adresses MAC (Ethernet), uniquement en **mode router** et après activation du mode ipv6 ('' | ||
+ | <code bash> | ||
+ | access-list mac < | ||
+ | | ||
+ | </ | ||
+ | avec : | ||
+ | * NOM_ACL le nom de l'ACL | ||
+ | * Ethertype d'une valeur comprise entre 0x0600 et 0xFFFF, ou valant un mot-clé parmi : '' | ||
+ | |||
+ | ====IPv6 ACL==== | ||
+ | |||
+ | Comme les //MAC-based ACLs// il faut activer le mode ipv6mode pour utiliser. | ||
+ | |||
+ | Syntaxe : | ||
+ | <code bash> | ||
+ | access-list ipv6 name {deny | permit} protocol {srcipv6-addr/ | ||
+ | | ||
+ | </ | ||
+ | |||
+ | |||
+ | =====Service ACLs===== | ||
+ | |||
+ | Les **service ACLs** permettent de filtrer les accès au switch. | ||
+ | |||
+ | <code bash> | ||
+ | # Syntaxe : | ||
+ | set system service-acl name {permit | deny} [ip-source ip-address [wildcard wildcard-bits] \ | ||
+ | | ipv6-source ipv6-address [wildcard / | ||
+ | | ||
+ | |||
+ | # ex : ne permettre l' | ||
+ | set system service-acl protect-sw permit port ge.1.1 | ||
+ | set system service-acl protect-sw permit port ge.1.2 | ||
+ | # ne permttre l' | ||
+ | set system service-acl protect-sw permit service ssh ip-source 10.0.0.1 \ | ||
+ | | ||
+ | |||
+ | # application de l'ACL | ||
+ | set system service-class protect-sw | ||
+ | |||
+ | # Vérification | ||
+ | show system service-class | ||
+ | | ||
+ | |||
+ | # Désactivation de la protection | ||
+ | clear system service-class protect-sw | ||
+ | |||
+ | # suppression de l'ACL | ||
+ | clear system service-acl protect-sw | ||
+ | </ | ||
=====Filtrer les IPv6===== | =====Filtrer les IPv6===== | ||
Line 544: | Line 891: | ||
Fonctionnement du stacking ([[https:// | Fonctionnement du stacking ([[https:// | ||
* un switch master, les autres " | * un switch master, les autres " | ||
- | * seul le port console du master est actif | + | * seul le port console du master est actif (c'est le seul a avoir la diode " |
- | * critère s d' | + | * les critères |
< | < | ||
Previously assigned / elected management unit | Previously assigned / elected management unit | ||
Line 554: | Line 901: | ||
Procédure de configuration : | Procédure de configuration : | ||
- | * les commutateurs doivent avoir le même firmware, la même licence et une conf manufactory | + | * les commutateurs doivent avoir le même firmware, la même licence et une conf " |
- | * brancher tous les câbles de stack lorsque tous les sw sont encore éteints | + | * brancher tous les câbles de stack lorsque tous les switchs |
* allumer les switchs un par un, en vérifiant le bon fonctionnement de chacun avant d' | * allumer les switchs un par un, en vérifiant le bon fonctionnement de chacun avant d' | ||
* les IDs sont attribués dans l' | * les IDs sont attribués dans l' | ||
- | * se logguer en CLI et vérifier le stack avec un "show switch" | + | * se logguer en CLI (sur le master) |
- | Pour changer le master d'un stack : | + | Pour changer le switch |
<code bash> | <code bash> | ||
- | set switch movemanagement | + | set switch movemanagement |
</ | </ | ||
- | Pour changer | + | Pour changer le " |
<code bash> | <code bash> | ||
set switch member | set switch member | ||
Line 575: | Line 922: | ||
</ | </ | ||
- | Recopier | + | Faire une bascule (changer de master) (provoque une coupure de 30-40 secondes) |
+ | <code bash> | ||
+ | set switch movemanagement [from-unit] [to-unit] | ||
+ | </ | ||
+ | |||
+ | =====Remplacer un membre défectueux===== | ||
+ | |||
+ | Pour remplacer un membre défectueux de la stack : | ||
+ | * éteindre | ||
+ | * débrancher tous les câbles | ||
+ | * déracker le switch et le remplacer par un de même modèle (NB : surveiller la version de firmware aussi : il doit avoir la même famille (6.42 ou 6.61) que la stack) | ||
+ | * racker et rebrancher tous les câbles | ||
+ | * au redémarrage il doit être reconnu et avoir le statut " | ||
+ | |||
+ | =====Ajouter | ||
+ | |||
+ | Pour ajouter un switch dans une stack déjà en place, on peut recopier le firmware de la stack sur le nouveau membre nouvellement ajouté (normalement cela se fait tout seul). | ||
<code bash> | <code bash> | ||
set switch copy-fw destination-system < | set switch copy-fw destination-system < | ||
Line 581: | Line 944: | ||
</ | </ | ||
- | Faire une bascule | + | =====Retirer un membre===== |
+ | |||
+ | <WRAP center round important 60%> | ||
+ | NB : bien vérifier qu'on est en mode loop (double connexion des switchs) car si les membres sont juste chainés, en retirer un membre risque | ||
+ | |||
+ | NB2 : si le membre à retirer est le master | ||
+ | </ | ||
+ | |||
+ | Pour retirer définitivement un switch d'une pile : | ||
+ | * débrancher puis débrasser (ports RJ et ports stack) le switch qui doit être retirer | ||
+ | * supprimer la configuration qui s'y rapporte : | ||
<code bash> | <code bash> | ||
- | set switch | + | clear switch |
</ | </ | ||
+ | * reconnecter le port stack entre les 2 membres adjacents à celui qui doit être retirer pour retrouver une topologie en loop | ||
+ | Pour éviter d' | ||
+ | =====Renuméroter un membre===== | ||
+ | |||
+ | Lorsqu' | ||
+ | <code bash> | ||
+ | set switch < | ||
+ | |||
+ | # dans notre exemple : passer de 3 à 1 | ||
+ | set switch 3 renumber 1 | ||
+ | </ | ||
+ | NB : cela a pour effet de rebooter le switch. | ||
======Routage====== | ======Routage====== | ||
Line 596: | Line 981: | ||
</ | </ | ||
+ | =====helper address===== | ||
+ | Pour transférer les paquets broadcastés dans un réseau vers une machine dans un autre réseau (par exemple pour relayer les requêtes DHCP), il faut configurer les "ip helper" | ||
+ | <code bash> | ||
+ | router | ||
+ | enable | ||
+ | configure | ||
+ | |||
+ | interface vlan 1 | ||
+ | ip address 172.16.1.254 255.255.0.0 | ||
+ | ip helper-address 172.16.1.1 | ||
+ | no shutdown | ||
+ | exit | ||
+ | </ | ||
======Métrologie/ | ======Métrologie/ | ||
+ | |||
+ | Créer un accès rapide à la communauté " | ||
+ | <code bash> | ||
+ | set snmp community supervSNMP | ||
+ | set snmp group groupRO user supervSNMP security-model v2c | ||
+ | set snmp access groupRO security-model v2c exact read All write none notify All | ||
+ | </ | ||
OIDs utiles : | OIDs utiles : | ||
- | < | + | < |
DISMAN-EVENT-MIB:: | DISMAN-EVENT-MIB:: | ||
+ | |||
# trouver le port d'une adresse MAC : après l' | # trouver le port d'une adresse MAC : après l' | ||
# ex 00: | # ex 00: | ||
.1.3.6.1.2.1.17.4.3.1.2.0.38.185.210.166.225 | .1.3.6.1.2.1.17.4.3.1.2.0.38.185.210.166.225 | ||
+ | SNMPv2-SMI:: | ||
+ | |||
+ | # séries B-C-D | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.2.1.1 | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3.1.1 | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.4.1.1 | ||
+ | |||
+ | # Matrix | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3 | ||
+ | |||
+ | # Bornes WIFI | ||
+ | .1.3.6.1.4.1.5624.1.2.6.5.2.0 | ||
</ | </ | ||
======Tips====== | ======Tips====== | ||
+ | |||
+ | =====portadmin et portenable===== | ||
+ | |||
+ | La différence entre **portadmin** et **portenable** (ce dernier n' | ||
+ | * '' | ||
+ | * '' | ||
+ | -> C'est utile dans le cadre d'un agrégat, pour éviter qu'un port ne cause "en dehors" | ||
+ | |||
+ | source : [[https:// | ||
+ | ======Ressources====== | ||
+ | |||
+ | * [[https:// | ||
+ |
informatique/enterasys.txt · Last modified: 2022/12/07 15:25 by pteu