Differences

This shows you the differences between two versions of the page.

--- informatique:enterasys [2017/10/18 14:52] – [Routage] helper address pteu
+++ informatique:enterasys [2022/12/07 15:25] (current) – [MAC-security] pteu
@@ Line 1: / Line 1: @@
 ======Remarques générales======
-La marque Enterasys a été rachetée par Extreme Networks il y a quelques temps déjà, mais certaines gammes d'équipements continuent encore d'être vendue.
+La marque Enterasys a été rachetée par Extreme Networks il y a quelques temps déjà, mais certaines gammes d'équipements sont encore vendues.
@@ Line 43: / Line 43: @@
 # en définissant une hauteur infinie on désactive les "more"
 set length 0
+</code>
+Pour lancer une commande (la prochaine qui sera saisie) plusieurs fois d'affilée :
+<code bash>
+# lancer 3x la commande "show port counter ge.1.1" à 1 seconde d'intervalle
+loop 3 1
+show port counter ge.1.1
 </code>
@@ Line 51: / Line 58: @@
   * rw
   * ro
-Si les logins sont parlant quant à leur droits d'accès, il faut savoir que "rw" et "ro" n'apparaissent pas dans une ''show conf''. Par sécurité il est conseiller de supprimer ou désactiver ces derniers ainsi que de changer le mot de passe admin.
+Si les logins sont parlant quant à leur droits d'accès, il faut savoir que "rw" et "ro" n'apparaissent pas dans un ''show conf''. Par sécurité il est conseiller de supprimer ou désactiver ces derniers ainsi que de changer le mot de passe admin.
 <code bash>
 # supprimer les comptes
@@ Line 67: / Line 74: @@
 Pour lister les comptes utilisateurs ainsi que la politique de mots de passe :
 <code bash>
 show system login
-Password history size: 0
+Username   Access     State    Aging  Simul  Local  Login  Access  Allowed
-Password aging       : disabled
+                                      Login  Only?  Start  End     Days
-Username     Access           State
+admin      super-user enabled  0      0      no     ***access always allowed***
+toto       read-only  enabled  0      0      no     ***access always allowed***
-admin       super-user        enabled
-ro          read-Only         enabled
-rw          read-write        enabled
 </code>
@@ Line 81: / Line 85: @@
 <code bash>
 show users
+ Session    User    Location
+ --------- -------  -------------------
+ SSH        admin   10.1.1.24
+ SSH        toto    10.27.132.11
+ telnet     titi    10.27.194.34
 </code>
+Pour déconnecter une session ouverte, ou ghost sans attendre son timeout :
+<code bash>
+disconnect <IP>
+</code>
+Pour limiter le nombre de connexions simultanées par login (par défaut 0 = pas de limite), par exemple 2 pour "toto" :
+<code bash>
+set system login toto read-only enable simultaneous-logins 2
+</code>
 =====SSH=====
@@ Line 91: / Line 109: @@
 </code>
+NB : le nombre maximal de connexions SSH simultanées est limité à 2 sur la majorité des modèles stackables comme les B/C/D.
+=====HTTP=====
+Pour activer/désactiver le serveur web du commutateur (par sécurité il est courant de le désactiver) :
+<code bash>
+set webview enable/disable
+# pour activer le HTTPS
+set ssl enable/disable
+</code>
 =====Sécurité du login=====
@@ Line 106: / Line 134: @@
 set logout 160
 </code>
+=====Sécurité des mots de passe=====
+On peut définir une politique de sécurité des mots de passe afin qu'ils ne soient pas trop faibles et changés régulièrement :
+<code bash>
+# définir une longueur de mot de passe à 14 caractères minimum
+# et imposer qu'ils contiennent au moins un caractère minuscule, majuscule, spécial et un chiffre
+set system password length 14
+set system password min-required-chars lowercase 1 uppercase 1 numeric 1 special 1
+# enregistrer les (0-10) précédents mots de passe
+set system password history 3
+# pour interdir la réutilisation d'une sous-chaine déjà présente dans un ancien mot de passe
+# et interdire la répétition de plus de 3 fois le même caractère
+set system password substring-match-len 10 allow-repeating-chars 3
+# forcer le changement des mots de passe tous les ans
+set system password aging 365
+</code>
+Vérification :
+<code bash>
+show system password
+</code>
 =====CDP/LLDP=====
@@ Line 116: / Line 170: @@
 # afficher les voisins détectés en CDP/LLDP sur le même segment ethernet
 show neighbors
+# activer le LLDP sur le port tg.1.1 seulement en réception
+set lldp port status rx-enable tg.1.1
 </code>
+Désactiver le CDP/LLDP :
+<code bash>
+set cdp state disable
+set cdp state disable *.*.*
+set lldp port status disabled *.*.*
+</code>
 =====Logging=====
@@ Line 126: / Line 190: @@
 # activer les logs sur la console et dans un fichier (current.log)
 set logging local console enable file enable
+</code>
+Voir les paramètres de logging par défaut :
+<code bash>
+show logging defaults
 </code>
@@ Line 140: / Line 209: @@
 </code>
-Pour logguer les UP/DOWN des ports
+Rappel :
+  * la **severity** est une échelle de 1 à 8 indiquant le niveau de debug (du moins au plus verbeux) : 1 (emergencies), 2 (alerts), 3 (critical), 4 (errors), 5 (warnings), 6 (notifications), 7 (information), 8 (debugging).
+  * la **facility** sert à identifier les logs sur le serveur syslog ; 8 possibilités, entre //local0// à //local7//.
+Pour envoyer les logs locaux vers un serveur TFTP :
 <code bash>
-set linkflap portstate enable
+copy logs/current.log tftp://10.0.0.1/switch.log
+</code>
+====current.log====
+Le **current.log** contient les logs détaillés du système ; il n'est consultable qu'en l'exportant via TFTP ou via la commande ''show support''.
+Dans le cas d'un stack il retourne séquentiellement les logs de chaque membre.
+<code bash>
+<134> JAN 19 05:25:17 STK1 BOOT[268434944]: sysapi.c(1295) 1 %%
+ Configuration file on disk size 1086200 is less than expected size 1319967.
 </code>
+Dans cet exemple, le ''1%%'' indique le pourmillage d'utilisation de la capacité de stockage (donc entre 0 et 1000).
 ====Logguer les commandes====
@@ Line 155: / Line 238: @@
 =====Password recovery=====
-Sur un B2, B3, C3 et d'autres modèles : il y a un petit trou à l'arrière du châssis, juste à droite du port stack. Il faut utiliser une aiguille pour l'atteindre, et l'enfoncer 5 secondes. "Password Reset button has been pressed" apparaît en console et dans les logs.
+Sur les séries B et C : il y a un petit trou à l'arrière du châssis, juste à droite du port stack. Il faut utiliser une pointe de stylo pour l'atteindre, l'enfoncer 5 secondes et relâcher. "Password Reset button has been pressed" apparaît en console et dans les logs.
 Il n'y a pas d'interruption de service, on peut ensuite se connecter directement en admin sans mot de passe.
@@ Line 331: / Line 414: @@
 source : https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-collect-a-show-tech-or-a-tech-support-to-provide-to-GTAC
+Lister les flux sur les ports ten gig :
+<code bash>
+show flowlimit stats tg.*.*
+</code>
+Afficher les compteurs et l'utilisation des ports :
+<code bash>
+show rmon history interval 30sec wide
+</code>
 ======Gestion ports/VLANs======
@@ Line 392: / Line 483: @@
 ====MAC-security====
-La fonctionnalité mac-security permet de limiter et bloquer le nombre et la valeur d'@mac sur un port
+La fonctionnalité maclock permet de limiter et bloquer le nombre et la valeur d'@MAC sur un port. Il s'agit d'un mécanisme de contrôle d'accès à n'activer que sur les ports utilisateurs/edge, et surtout pas sur les ports ISL (inter-switchs) sous peine de bloquer le réseau.
+Exemple de mise en place sur tous les ports utilisateur d'un commutateur, avec 1 MAC par port maximum :
 <code bash>
-set maclock enable ge.2.72
+set maclock enable ge.1.1-23
 # nb max d'@ mac sur le port (1)
-set maclock static ge.2.72 1
+set maclock static ge.1.1-23 1
-# n'autoriser que cette @ mac
+set maclock firstarrival ge.1.1-23 1
-set maclock 00-11-88-00-11-22 ge.2.72
+# activer la fonctionnalité
+set maclock enable
+!
+# configuration de l'action en cas de dépassement des seuils configurés
+set maclock syslog ge.1.1-23 enable violation
+# vérifications
+show maclock
+show maclock stations
+# recopie des MAC apprises en firstarrival vers static
+set maclock move ge.1.1-23
 </code>
+Vérifications :
+<code bash>
+show maclock
+show maclock stations
+</code>
+Modifications manuelle d'une MAC :
+<code bash>
+// ajouter une MAC staique à la main
+set maclock 00-11-88-4A-28-BF ge.2.72 create
+</code>
 ====Shaping====
@@ Line 415: / Line 528: @@
 <code bash>
-show rmon stats ge.2.65
 show port counters ge.2.65 [switch]
+show rmon stats ge.2.65
+</code>
+Pour voir les infos de rmon sous forme de liste, par port :
+<code bash>
+show rmon history interval 30sec wide
+Interface  Index Util               Octets              Packets  Broadcast  Multicast  Drop Evts Collisions    Jabbers CRC Errors  Undersize   Oversize  Fragments Direction
+---------- ----- ---- -------------------- -------------------- ---------- ---------- ---------- ---------- ---------- ---------- ---------- ---------- ---------- ---------
+tg.2.1      2001   0%           3555751743              3557100       6055      63100          0          0          0          0          0          0          0     rx+tx
+tg.2.2      2003   0%                    0                    0          0          0          0          0          0          0          0          0          0     rx+tx
+tg.2.3      2005   0%            440571734               500309       5996     122267          0          0          0          0          0          0          0     rx+tx
+tg.2.4      2007   0%            566194991               733960       6055      63322          0          0          0          0          0          0          0     rx+tx
+tg.2.5      2009   0%            451879854               477877       6040      62939          0          0          0          0          0          0          0     rx+tx
+t
 </code>
@@ Line 423: / Line 549: @@
 clear port counter ge.2.72
 </code>
+===Terminologie des compteurs===
+  * **In Discards** : Packets received by the device interface that were discarded even though no errors prevented them from being delivered to a higher layer protocol (e.g., to free up buffer space in the device).
+  * **In Errors** : Packets received by the device interface that contained errors that prevented them from being delivered to a higher-layer protocol.
+  * **In Unknown** : Packets received by the device interface that were discarded because of an unknown or unsupported protocol.
+  * **Overruns** : inbound - lack of interface buffer
+  * **Out Discards** : outbound - lack of interface buffer (= buffer drop = quand le débit à émettre > débit de l'interface = congestion)
+  * **Jabber** : trame > 1518 et ont une mauvaise FCS ou CRC ; peut être lié a un pb électrique sur une NIC
+    * **CRC** (Cyclic Redundancy Check) : pour détecter les erreurs de transmission/réception: algo de détection d'erreur
+    * **FCS** (Frame check sequence) : détection d'erreur sur une trame, spécifique au réseau L2.
+    * **Alignment** : le paquet ne contient pas un nb de bit multiple de 8 OU contient une //FCS error//
+NB : en 802.3 les erreurs devraient être < 10^-8,  i.e. 1 in 82 x 10^6
+  * **Undersize** ou **Runt** : trame < 64 octets
+  * **Long** : taille trame entre 1518 et 6000 octets
+  * **Oversize**, **Jumbo** ou **Giant** : trame > 6000 octets
+  * **Dribble** : trame  > 1518 mais qui peut être traité quand même
+  * **Congestion** : port egress congestion statistics (dropped packets)
+  * **Jam** : utiliser pour prévenir qu'il y a collision. Peut être utiliser en cas de congestion pour "back pressure" la station qui surcharge le switch
 ====Agrégats====
@@ Line 433: / Line 579: @@
 <code bash>
 set lacp enable
-# pour permettre au lag de rester UP même s'il ne possède qu'une interface physique UP
-set lacp singleport enable
 set lacp aadminkey lag.0.1 1
 set port lacp port ge.1.24-25 aadminkey 1
 set port lacp port ge.1.24-25 enable
+</code>
+Pour activer l'auto-neg d'un lag entre switchs Enterasys, dès le premier port :
+<code bash>
+set lacp singleport enable
 </code>
@@ Line 457: / Line 605: @@
 # exemple avec les ports tg.2.1 et tg.3.1 sur un premier switch
 set port lacp port tg.2.1,tg.3.1 aadminstate lacptimeout
+</code>
+====Linkflap====
+Le flapping est le fait de changer d'état //plus souvent// que la normale ; les switchs Enterasys disposent d'un ensemble de commandes permettant de surveiller les transitions UP/DOWN des ports (linkflap). Parce que cela perturbe le switch, on peut définir des règle pour bloquer les ports qui tombent trop souvent.
+<code bash>
+# afficher la configuration actuelle (des ports compatibles avec la fonctionnalité)
+show linkflap parameters
+</code>
+Mise en place d'une surveillance :
+<code bash>
+# activer la fonction globalement
+set linkflap globalstate enable
+# définir l'intervalle de temps (en secondes) de comptage des links DOWN
+set linkflap interval ge.*.* 10
+# défini le seuil de link DOWN autorisés par intervalle de comptage
+set linkflap threshold ge.*.* 20
+# définir l'action en cas de non-respect de la règle (ici, juste logguer le port)
+set linkflap action ge.*.* gensyslogentry
+# afficher les compteurs de flaps
+show linkflap metrics
+</code>
+<code bash>
+# logguer les UP/DOWN des ports
+set linkflap portstate enable
 </code>
@@ Line 508: / Line 687: @@
 ====MAC tracking====
-Activer la [[https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-troubleshoot-spanning-tree-topology-changes-on-Securestack-and-N-S-Series|surveillance MAC move]]
+Dans le cas d'une boucle réseau ou d'un problème de niveau 2, avec de fortes latences, des remontées de logs de la forme :
+<code bash>
+Jun 21 09:58:45 10.12.93.197 HostDoS[2] Attack ( arpNd ) detected on vlan.0.90 [ InPort(tg.2.5) LEN(94) DA(33:33:FF:00:11:22) SA(18:DB:F2:00:11:22) C-TAG(8100:005A) ETYPE(86DD) SIP(fe80::f0e9::) DIP(ff02::1::) VER(6) PROTO(58) TOS(0) TTL(255) FLOW(0) ICMP(135:0) ]
+</code>
+... et un ''sh sys utilization process'' remontant une forte charge CPU (proche de 60%) du processus ''Switch Packet Processing'' ; on peut activer la [[https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-troubleshoot-spanning-tree-topology-changes-on-Securestack-and-N-S-Series|surveillance de déplacement d'adresses MAC]] (ou MAC tracking :-) ). Cela consiste à logguer les changements de port des adresses MAC, symptomatiques d'un problème de bouclage ou de //packet reflection// :
 <code bash>
 set movedaddrtrap enable
@@ Line 532: / Line 715: @@
 </code>
+=====Port mirroring=====
+Pour copier le trafic du port ge.1.1 vers le port ge.1.2 :
+<code bash>
+set port mirroring create ge.1.1 ge.1.2
+# déconfiguration
+clear port mirroring ge.1.1 ge.1.2
+</code>
 ======Spanning-tree======
@@ Line 539: / Line 730: @@
 show spantree version
 show spantree stats
-# afficher les ports actifs en plus
+# afficher les ports actifs en plus (commandes équivalentes)
 show spantree stats active
+show spantree stats port *.*.* active
+</code>
+=====Edge ports====
+Un port edge est un port "utilisateur" (~ équivalent de portfast chez Cisco), sur lequel se connecte un équipement qui n'est pas un switch et avec lequel le switch n'aura pas à dialoguer en STP. Il n'est pas protégé contre les boucles mais a l'avantage de "monter" (passer UP et FORWARDING) plus rapidement. Les ports edge ne devraient donc jamais envoyer de BPDU.
+<code bash>
+# Définir un port comme edge
+set spantree adminedge ge.1.1 true
+# ça n'est nécessaire dans l'absolu car la fonction autoedge est activée par défaut
+show spantree autoedge
+ Auto Edge is set to enable
+# vérif
+show spantree adminedge port ge.1.1
+Port ge.1.1    has a port Admin Edge of Edge-Port
+</code>
+=====Spanguard=====
+Fonctionnalité qui protège contre les "TC" (topology change) intempestifs, le **spanguard** permet de désactiver un port (il passe en "blocking") sur lequel le commutateur reçoit un BPDU. Le port sera réactivé automatiquement à la fin du timeout défini, ou réactivé manuellement.
+Cela permet de traquer les commutateurs sauvages (installés en douce par des utilisateurs) ou des bridges "mal" configurés sur des PCs (par exemple libvirt pour des machines virtuelles ou docker) : qui n'ont pas désactivé le STP.
+Il ne faut pas l'activer tant que l'on n'a pas défini nos ISL (liens inter-switchs), sinon cela coupera nos intercos et créera un gros incident des familles.
+<code bash>
+show spantree spanguard
+ Spanguard is disabled
+# Pour fonctionner correctement, il faut préalablement configurer tous les ports utilisateur en edge forcé
+set spantree adminedge ge.1.1-47 true
+# mais surtout pas nos ISLs (Inter-Switchs links = les interconnexions avec nos autres commutateurs)
+clear spantree adminedge ge.1.48        # au cas ou !...
+# Options éventuelles
+set spantree spanguardtimeout 60
-# bloquer les port edge qui envoient des BPDU
+# Enfin, activer le spanguard
-# (attention aux PC qui ont un bridge br0 (ex : libvirt))
 set spantree spanguard enabled
 </code>
-Debug (uniquement sur les châssis Matrix) :
+=====Debug=====
+(uniquement sur les châssis Matrix) :
 <code bash>
 show spantree debug
@@ Line 560: / Line 790: @@
 # activer/désactiver le STP : dépend du modèle : sur A/B/C/D/G/I-Series :
 set spantree enable / disable
 # sur K/N/S/7100-Series :
 set spantree stpmode ieee8021 / none
+# sur les séries BCD:
+set spantree version { mstp / rstp / stpcompatible }
 </code>
@@ Line 571: / Line 804: @@
-======Access-list======
+======Access-lists======
+====="Router-mode" ACLs=====
+Les **router ACLs** permettent de filtrer du trafic forwardé (pas à destination de l'équipement lui-même) ; elles sont numérotées de 1 à 199 et limitées à 80 lignes ; elles peuvent être de type **standard** (numérotées de 1 à 99) ou **étendues** (numérotées de 100 à 199).
+  * les ACLs standard permettent de filtrer en input et uniquement l'adresse IP source
+  * les ACLs utilisent des wildcard (des masques réseau inversés : masque=255.255.0.0 -> wildcard=0.0.255.255)
+  * par défaut elles se terminent toutes par un ''deny any any'' implicite.
+  * les ACLs et les policys utilisent le même composant matériel ; de ce fait on ne peut utiliser les unes sans désactiver les autres.
+  * pour créer des access-lists de type **IPv6** ou **MAC**, il faut activer le **mode IPv6** : ''access-list ipv6mode''
+Pour créer une ACL, créer juste une première règle : ''access-list 67 deny host 192.168.67.1'' ; pour supprimer une ACL : ''no access-list 67''.
+===Opérations sur les ACLs===
+Par défaut si aucune action n'est précisée, la ligne saisie sera ajoutée à la fin de l'ACL.
+<code bash>
+# ajouter une ligne à l'ACL 67
+access-list 67 deny any
+# supprimer une ou un groupe de lignes
+#    ex : supprimer la première ligne
+no access-list 67 1
+#    supprimer les lignes de 1 à 5
+no access-list 67 1 5
+# Insérer une ligne en première position :
+access-list 67 insert 1 permit 192.168.67.2
+# remplacer la première ligne
+access-list 67 replace 1 permit 192.168.67.1 0.0.0.1
+# Déplacer des lignes ;
+# par ex : insérer, devant la ligne n°1, les lignes comprises entre la 2nde et la 5ème ligne
+access-list 67 move 1 2 5
+</code>
+Une fois l'access-list rédigée, on l'applique sur une interface VLAN (''ip access-group'', en **mode routeur**) ou un port physique (''access-list interface'') :
+<code bash>
+# activation sur une interface VLAN en "inbound"
+# NB : l'application en "outbound" n'est pas disponible sur toutes les gammes de switch
+interface vlan 67
+ ip access-group 1 in
+# activation sur les ports physiques ge.1.1 à ge.1.12
+access-list interface 67 ge.1.1-12
+</code>
+On peut préciser les paramètre ''sequence'' suivi du numéro de séquence, si on veut ordonner l'application de plusieurs ACLs sur une même cible.
+====ACLs étendues====
+Tout fonctionne comme les ACLs standard, mais la syntaxe des règles est plus fine pour un filtrage plus précis : on peut filtrer par protocole (ip proto), ports et couple IP source/destination.
+<code bash>
+# Syntaxe :
+access-list access-list-number {deny | permit} protocol source [source-wildcard] [eq port] \
+   destination [destination-wildcard] [eq port][precedence precedence | tos <tos tosmask> \
+   | dscp dscp ] [assign-queue queue-id]
+# ex : permettre au réseau 10.0.0.0/24 de faire du SSH (tcp/22) vers n'importe qui (any) :
+access-list 101 permit tcp 10.0.0.0 0.0.0.255 any eq 22
+</code>
+Avec :
+  * protocol parmi ''ip, tcp, udp, icmp, igmp''
+  * port le port entre 0 et 65535 (si UDP ou TCP)
+  * precedence la valeur du champ ip-precedence (entre 0 et 7)
+  * ToS : la valeur du ToS, entre ''0x00'' et ''0xff''
+  * dscp entre 0 et 63 ou égal à : ''af11, af12, af13, af21, af22, af23, af31, af32, af33, af41, af42, af43, af44'' ; ''be/cs0'' ; entre ''cs1'' et ''cs7'' ; ou ''ef''
+====MAC-based ACLs====
+Ces ACLs filtrent au niveau des adresses MAC (Ethernet), uniquement en **mode router** et après activation du mode ipv6 (''access-list ipv6mode'').
+<code bash>
+access-list mac <NOM_ACL> {deny | permit} {srcmac | any} {destmac | any} \
+   [ethertype <ethertype>] [vlan <vlan-id>] [priority <pri>] [assign-queue <queue-id>]
+</code>
+avec :
+  * NOM_ACL le nom de l'ACL
+  * Ethertype d'une valeur comprise entre 0x0600 et 0xFFFF, ou valant un mot-clé parmi : ''appletalk, arp, ibmsna, ipv4, ipv6, ipx, mplsmcast, mplsucast, netbior, novell, pppoe, rarp''
+====IPv6 ACL====
+Comme les //MAC-based ACLs// il faut activer le mode ipv6mode pour utiliser.
+Syntaxe :
+<code bash>
+access-list ipv6 name {deny | permit} protocol {srcipv6-addr/prefix-length | any} [eq port] \
+   {dstipv6-addr/prefix-length | any} [eq port] [dscp dscp] [flow-label label-value] [assign-queue queue-id]
+</code>
+=====Service ACLs=====
+Les **service ACLs** permettent de filtrer les accès au switch.
+<code bash>
+# Syntaxe :
+set system service-acl name {permit | deny} [ip-source ip-address [wildcard wildcard-bits] \
+   | ipv6-source ipv6-address [wildcard /prefix-length]] [port port-string | vlan vlan-id] \
+   [service service] [priority priority-value]
+# ex : ne permettre l'accès au switch que depuis les port ge.1.1 et ge.1.2
+set system service-acl protect-sw permit port ge.1.1
+set system service-acl protect-sw permit port ge.1.2
+# ne permttre l'accès SSH du switch qu' l'IP 10.0.0.1 et depuis le port ge.1.12
+set system service-acl protect-sw permit service ssh ip-source 10.0.0.1 \
+   wildcard /32 port ge.1.12
+# application de l'ACL
+set system service-class protect-sw
+# Vérification
+show system service-class
+   system service-class is enabled, using access list protect-sw.
+# Désactivation de la protection
+clear system service-class protect-sw
+# suppression de l'ACL
+clear system service-acl protect-sw
+</code>
 =====Filtrer les IPv6=====
@@ Line 596: / Line 952: @@
 Fonctionnement du stacking ([[https://community.extremenetworks.com/extreme/topics/securestack_stacking_overview-of7yg|source]]) :
   * un switch master, les autres "members" ; avec un backup en cas de panne du master
-  * seul le port console du master est actif
+  * seul le port console du master est actif (c'est le seul a avoir la diode "MGR" allumée)
-  * critère s d'élection du master:
+  * les critères d'élection du master:
 <code>
     Previously assigned / elected management unit
@@ Line 606: / Line 962: @@
 Procédure de configuration :
-  * les commutateurs doivent avoir le même firmware, la même licence et une conf manufactory
+  * les commutateurs doivent avoir le même firmware, la même licence et une conf "factory"
-  * brancher tous les câbles de stack lorsque tous les sw sont encore éteints
+  * brancher tous les câbles de stack lorsque tous les switchs sont encore éteints
   * allumer les switchs un par un, en vérifiant le bon fonctionnement de chacun avant d'allumer le suivant
   * les IDs sont attribués dans l'ordre d'allumage (premier allumé = ID 1, etc)
-  * se logguer en CLI et vérifier le stack avec un "show switch"
+  * se logguer en CLI (sur le master) et vérifier le stack avec un "show switch"
-Pour changer le master d'un stack :
+Pour changer le switch master d'un stack :
 <code bash>
-set switch movemanagement
+set switch movemanagement <from_unit> <to_unit>
 </code>
-Pour changer la numérotation des sw dans le stack :
+Pour changer le "switchindex" (SID), qui dépend du modèle de switch (normalement il est auto-détecté, et on peut consulter la correspondance SID/produit avec ''show switch switchtype'') :
 <code bash>
 set switch member
@@ Line 627: / Line 983: @@
 </code>
-Recopier le firmware de la stack sur un nouveau membre nouvellement ajouté (normalement cela se fait tout seul). NB : à la condition qu'ils soient du même côté de la "6.42/6.61 line", sinon [[https://gtacknowledge.extremenetworks.com/articles/Q_A/How-do-I-replace-a-faulty-unit-or-management-Switch|ils ne communiquent pas]].
+Faire une bascule (changer de master) (provoque une coupure de 30-40 secondes)
+<code bash>
+set switch movemanagement [from-unit] [to-unit]
+</code>
+=====Remplacer un membre défectueux=====
+Pour remplacer un membre défectueux de la stack :
+  * éteindre le membre défectueux
+  * débrancher tous les câbles de celui-ci (alim, stack-port et brassage)
+  * déracker le switch et le remplacer par un de même modèle (NB : surveiller la version de firmware aussi : il doit avoir la même famille (6.42 ou 6.61) que la stack)
+  * racker et rebrancher tous les câbles sur le nouveau membre, l'alim en dernier
+  * au redémarrage il doit être reconnu et avoir le statut "OK" dans la commande ''show switch''
+=====Ajouter un nouveau membre=====
+Pour ajouter un switch dans une stack déjà en place, on peut recopier le firmware de la stack sur le nouveau membre nouvellement ajouté (normalement cela se fait tout seul). Le seul prérequis que sa version soit du "même côté" de la "6.42/6.61 line", sinon [[https://gtacknowledge.extremenetworks.com/articles/Q_A/How-do-I-replace-a-faulty-unit-or-management-Switch|ils ne communiquent pas]].
 <code bash>
 set switch copy-fw destination-system <Unit-NUMBER>
@@ Line 633: / Line 1005: @@
 </code>
-Faire une bascule (changer de master) (provoque une coupure de 30-40 secondes)
+=====Retirer un membre=====
+<WRAP center round important 60%>
+NB : bien vérifier qu'on est en mode loop (double connexion des switchs) car si les membres sont juste chainés, en retirer un membre risque de couper la stack en 2.
+NB2 : si le membre à retirer est le master de la pile, la réélection (manuelle ou automatique) provoquera une coupure temporaire
+</WRAP>
+Pour retirer définitivement un switch d'une pile :
+  * débrancher puis débrasser (ports RJ et ports stack) le switch qui doit être retirer
+  * supprimer la configuration qui s'y rapporte :
 <code bash>
-set switch movemanagement [from-unit] [to-unit]
+clear switch member <MEMBER_NUMBER>
 </code>
+  * reconnecter le port stack entre les 2 membres adjacents à celui qui doit être retirer pour retrouver une topologie en loop
+Pour éviter d'avoir un trou dans la numérotation des membres, il faut renuméroter proprement les switchs restant et la conf associée, cf l'article suivant : [[https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-permanently-remove-Securestack-switch-and-configuration-from-an-existing-stack|How to permanently remove SecureStack switch and configuration from an existing stack]]
+=====Renuméroter un membre=====
+Lorsqu'on sort un switch d'une stack, il conserve ses numéros de port même après un ''clear conf'' : s'il était le membre n°3, ses ports se nomment encore ge.3.*. Pour le repasser en ge.1.* (ou pour renuméroter un membre dans un stack), passer la commande :
+<code bash>
+set switch <from-unit> renumber <to-unit>
+# dans notre exemple : passer de 3 à 1
+set switch 3 renumber 1
+</code>
+NB : cela a pour effet de rebooter le switch.
 ======Routage======
@@ Line 663: / Line 1057: @@
 </code>
 ======Métrologie/SNMP======
+Créer un accès rapide à la communauté "supervSNMP" en read-only pour la métrologie :
+<code bash>
+set snmp community supervSNMP
+set snmp group groupRO user supervSNMP security-model v2c
+set snmp access groupRO security-model v2c exact read All write none notify All
+</code>
 OIDs utiles :
-<code>
+<code bash>
 DISMAN-EVENT-MIB::sysUpTimeInstance		.1.3.6.1.2.1.1.3.0		uptime
 # trouver le port d'une adresse MAC : après l'avoir convertie en décimal :
 # ex 00:26:b9:d2:a6:e1 => 0.38.185.210.166.225
 .1.3.6.1.2.1.17.4.3.1.2.0.38.185.210.166.225
+SNMPv2-SMI::mib-2.47.1.1.1.1.11.x               .1.3.6.1.2.1.47.1.1.1.1.11.x    numéro de série (SN)
+# séries B-C-D
+.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.2.1.1           CPU 5s
+.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3.1.1           CPU 1min
+.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.4.1.1           CPU 5min
+# Processus
+.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.2               liste des noms de process
+.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.3               %age CPU 5s par process
+.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.4               %age CPU 1min par process
+.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.5               %age CPU 5min par process
+# Matrix
+.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3               liste % CPU (5s) par slot
+# Bornes WIFI
+.1.3.6.1.4.1.5624.1.2.6.5.2.0                    nombre de clients connectés
 </code>
@@ Line 679: / Line 1099: @@
 La différence entre **portadmin** et **portenable** (ce dernier n'étant disponible que sur les châssis Matrix apparemment) :
-  * ''set spantree portadmin <port>'' désactive le STP sur ce port
+  * ''set spantree portadmin <port> disable'' désactive le STP sur ce port
-  * ''set spantree portedge <port>'' désactive le forwarding (la commutation) de paquets sur ce port, mais ce dernier restera à l'état UP (à la différence d'un ''set port disable'')
+  * ''set spantree portedge <port> disable'' désactive le forwarding (la commutation) de paquets sur ce port, mais ce dernier restera à l'état UP (à la différence d'un ''set port disable'')
 -> C'est utile dans le cadre d'un agrégat, pour éviter qu'un port ne cause "en dehors" de ce lag.
 source : [[https://gtacknowledge.extremenetworks.com/articles/Q_A/Difference-between-EOS-Spanning-Tree-portadmin-and-portenable-commands|Difference-between-EOS-Spanning-Tree-portadmin-and-portenable-commands]]
+=====Activer les policy sur D2=====
+Les policy ne sont pas utilisables par défaut sur les modèles D2. Pour cela, il faut activer la licence (aujourd'hui gratuite) et accepter les CLUFs pour pouvoir utiliser les commandes du type ''set policy xxx'' :
+<code bash>
+show license
+D2Policy :   status Inactive
+set license D2Policy
+</code>
+src: [[https://community.extremenetworks.com/communities/community-home/digestviewer/viewthread?MessageKey=cfd4cd29-796b-4848-a2df-5898f088e7ef&CommunityKey=b42c6c6a-cd20-4836-b64b-6ff387134e07&tab=digestviewer#bmcfd4cd29-796b-4848-a2df-5898f088e7ef|Activating the Policy Feature on the D-Series]]
 ======Ressources======
   * [[https://gtacknowledge.extremenetworks.com/articles/How_To/EOS-Basic-Switch-Layer-2-Configuration-Best-Practices|EOS-Basic-Switch-Layer-2-Configuration-Best-Practices]] (sur gtacknowledge)