informatique:enterasys
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
informatique:enterasys [2019/01/17 07:44] – [Métrologie/SNMP] pteu | informatique:enterasys [2022/12/07 15:25] (current) – [MAC-security] pteu | ||
---|---|---|---|
Line 85: | Line 85: | ||
<code bash> | <code bash> | ||
show users | show users | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | </ | ||
+ | |||
+ | Pour déconnecter une session ouverte, ou ghost sans attendre son timeout : | ||
+ | <code bash> | ||
+ | disconnect <IP> | ||
</ | </ | ||
Line 109: | Line 119: | ||
set ssl enable/ | set ssl enable/ | ||
</ | </ | ||
+ | |||
=====Sécurité du login===== | =====Sécurité du login===== | ||
Line 123: | Line 134: | ||
set logout 160 | set logout 160 | ||
</ | </ | ||
+ | |||
+ | =====Sécurité des mots de passe===== | ||
+ | |||
+ | On peut définir une politique de sécurité des mots de passe afin qu'ils ne soient pas trop faibles et changés régulièrement : | ||
+ | <code bash> | ||
+ | # définir une longueur de mot de passe à 14 caractères minimum | ||
+ | # et imposer qu'ils contiennent au moins un caractère minuscule, majuscule, spécial et un chiffre | ||
+ | set system password length 14 | ||
+ | set system password min-required-chars lowercase 1 uppercase 1 numeric 1 special 1 | ||
+ | |||
+ | # enregistrer les (0-10) précédents mots de passe | ||
+ | set system password history 3 | ||
+ | |||
+ | # pour interdir la réutilisation d'une sous-chaine déjà présente dans un ancien mot de passe | ||
+ | # et interdire la répétition de plus de 3 fois le même caractère | ||
+ | set system password substring-match-len 10 allow-repeating-chars 3 | ||
+ | |||
+ | # forcer le changement des mots de passe tous les ans | ||
+ | set system password aging 365 | ||
+ | </ | ||
+ | |||
+ | Vérification : | ||
+ | <code bash> | ||
+ | show system password | ||
+ | </ | ||
+ | |||
=====CDP/ | =====CDP/ | ||
Line 138: | Line 175: | ||
</ | </ | ||
+ | Désactiver le CDP/LLDP : | ||
+ | <code bash> | ||
+ | set cdp state disable | ||
+ | set cdp state disable *.*.* | ||
+ | |||
+ | set lldp port status disabled *.*.* | ||
+ | </ | ||
=====Logging===== | =====Logging===== | ||
Line 194: | Line 238: | ||
=====Password recovery===== | =====Password recovery===== | ||
- | Sur un B2, B3, C3 et d' | + | Sur les séries B et C : il y a un petit trou à l' |
Il n'y a pas d' | Il n'y a pas d' | ||
Line 439: | Line 483: | ||
====MAC-security==== | ====MAC-security==== | ||
- | La fonctionnalité | + | La fonctionnalité |
+ | |||
+ | Exemple de mise en place sur tous les ports utilisateur d'un commutateur, | ||
<code bash> | <code bash> | ||
- | set maclock enable ge.2.72 | + | set maclock enable ge.1.1-23 |
# nb max d'@ mac sur le port (1) | # nb max d'@ mac sur le port (1) | ||
- | set maclock static ge.2.72 1 | + | set maclock static ge.1.1-23 1 |
- | # n'autoriser que cette @ mac | + | set maclock firstarrival ge.1.1-23 |
- | set maclock | + | # activer la fonctionnalité |
+ | set maclock enable | ||
+ | ! | ||
+ | # configuration de l'action en cas de dépassement des seuils configurés | ||
+ | set maclock | ||
+ | # vérifications | ||
+ | show maclock | ||
+ | show maclock stations | ||
+ | # recopie des MAC apprises en firstarrival vers static | ||
+ | set maclock move ge.1.1-23 | ||
</ | </ | ||
+ | Vérifications : | ||
+ | <code bash> | ||
+ | show maclock | ||
+ | show maclock stations | ||
+ | </ | ||
+ | |||
+ | Modifications manuelle d'une MAC : | ||
+ | <code bash> | ||
+ | // ajouter une MAC staique à la main | ||
+ | set maclock 00-11-88-4A-28-BF ge.2.72 create | ||
+ | </ | ||
====Shaping==== | ====Shaping==== | ||
Line 513: | Line 579: | ||
<code bash> | <code bash> | ||
set lacp enable | set lacp enable | ||
- | # pour permettre au lag de rester UP même s'il ne possède qu'une interface physique UP | ||
- | set lacp singleport enable | ||
- | |||
set lacp aadminkey lag.0.1 1 | set lacp aadminkey lag.0.1 1 | ||
set port lacp port ge.1.24-25 aadminkey 1 | set port lacp port ge.1.24-25 aadminkey 1 | ||
set port lacp port ge.1.24-25 enable | set port lacp port ge.1.24-25 enable | ||
+ | </ | ||
+ | |||
+ | Pour activer l' | ||
+ | <code bash> | ||
+ | set lacp singleport enable | ||
</ | </ | ||
Line 662: | Line 730: | ||
show spantree version | show spantree version | ||
show spantree stats | show spantree stats | ||
- | # afficher les ports actifs en plus | + | |
+ | # afficher les ports actifs en plus (commandes équivalentes) | ||
show spantree stats active | show spantree stats active | ||
+ | show spantree stats port *.*.* active | ||
+ | </ | ||
+ | |||
+ | =====Edge ports==== | ||
+ | |||
+ | Un port edge est un port " | ||
+ | |||
+ | <code bash> | ||
+ | # Définir un port comme edge | ||
+ | set spantree adminedge ge.1.1 true | ||
+ | # ça n'est nécessaire dans l' | ||
+ | show spantree autoedge | ||
+ | Auto Edge is set to enable | ||
+ | # vérif | ||
+ | show spantree adminedge port ge.1.1 | ||
+ | Port ge.1.1 | ||
+ | </ | ||
+ | |||
+ | |||
+ | =====Spanguard===== | ||
+ | |||
+ | Fonctionnalité qui protège contre les " | ||
+ | |||
+ | Cela permet de traquer les commutateurs sauvages (installés en douce par des utilisateurs) ou des bridges " | ||
+ | |||
+ | Il ne faut pas l' | ||
+ | |||
+ | <code bash> | ||
+ | show spantree spanguard | ||
+ | | ||
+ | |||
+ | # Pour fonctionner correctement, | ||
+ | set spantree adminedge ge.1.1-47 true | ||
+ | # mais surtout pas nos ISLs (Inter-Switchs links = les interconnexions avec nos autres commutateurs) | ||
+ | clear spantree adminedge ge.1.48 | ||
+ | |||
+ | # Options éventuelles | ||
+ | set spantree spanguardtimeout 60 | ||
- | # bloquer les port edge qui envoient des BPDU | + | # Enfin, activer le spanguard |
- | # (attention aux PC qui ont un bridge br0 (ex : libvirt)) | + | |
set spantree spanguard enabled | set spantree spanguard enabled | ||
</ | </ | ||
- | Debug (uniquement sur les châssis Matrix) : | + | =====Debug===== |
+ | (uniquement sur les châssis Matrix) : | ||
<code bash> | <code bash> | ||
show spantree debug | show spantree debug | ||
Line 683: | Line 790: | ||
# activer/ | # activer/ | ||
set spantree enable / disable | set spantree enable / disable | ||
+ | |||
# sur K/ | # sur K/ | ||
set spantree stpmode ieee8021 / none | set spantree stpmode ieee8021 / none | ||
+ | # sur les séries BCD: | ||
+ | set spantree version { mstp / rstp / stpcompatible } | ||
</ | </ | ||
Line 956: | Line 1066: | ||
OIDs utiles : | OIDs utiles : | ||
- | < | + | < |
DISMAN-EVENT-MIB:: | DISMAN-EVENT-MIB:: | ||
- | .1.3.6.1.4.1.1916.1.32.1.2.0 % utilisation CPU | + | |
- | .1.3.6.1.4.1.1916.1.1.1.8.0 temperature | + | |
# trouver le port d'une adresse MAC : après l' | # trouver le port d'une adresse MAC : après l' | ||
# ex 00: | # ex 00: | ||
Line 965: | Line 1074: | ||
SNMPv2-SMI:: | SNMPv2-SMI:: | ||
+ | |||
+ | # séries B-C-D | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.2.1.1 | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3.1.1 | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.4.1.1 | ||
+ | |||
+ | # Processus | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.2.1.1.2 | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.2.1.1.3 | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.2.1.1.4 | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.2.1.1.5 | ||
+ | |||
+ | # Matrix | ||
+ | .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3 | ||
+ | |||
+ | # Bornes WIFI | ||
+ | .1.3.6.1.4.1.5624.1.2.6.5.2.0 | ||
</ | </ | ||
Line 978: | Line 1104: | ||
source : [[https:// | source : [[https:// | ||
+ | |||
+ | |||
+ | =====Activer les policy sur D2===== | ||
+ | |||
+ | Les policy ne sont pas utilisables par défaut sur les modèles D2. Pour cela, il faut activer la licence (aujourd' | ||
+ | <code bash> | ||
+ | show license | ||
+ | D2Policy : | ||
+ | |||
+ | set license D2Policy | ||
+ | </ | ||
+ | |||
+ | src: [[https:// | ||
======Ressources====== | ======Ressources====== | ||
* [[https:// | * [[https:// | ||
informatique/enterasys.txt · Last modified: 2022/12/07 15:25 by pteu