Differences

This shows you the differences between two versions of the page.

--- informatique:extreme_networks [2023/04/05 12:57] – [Management] show switch management pteu
+++ informatique:extreme_networks [2025/10/15 15:30] (current) – [authentification par mac] pteu
@@ Line 4: / Line 4: @@
 =====Remarques générales=====
-Par défaut les switchs sont configurés avec 2 VRs (virtuals router), chacun doté d'une table de routage étanche :
+Par défaut les switchs sont configurés avec 2 VRs (virtual router), chacun possédant une table de routage étanche :
   * **VR-Mgmt**, le VR de management avec le port d'admin (Mgmt), dont le vlan est 4095
   * **VR-Default**, celui dans lequel tous les autres ports sont configurés
@@ Line 10: / Line 10: @@
 Pour les versions 16 et antérieures, le SSH est une fonctionnalité optionnelle, installable via un paquet téléchargeable dans le "download center" du site officiel (en saisissant le serial d'un équipement).
-Par défaut les résultats de commandes s'affichent page par page ; pour afficher tout le retour en une seule fois (pour supprimer les "Press <SPACE> to continue or <Q> to quit: ~more" (''terminal length'' chez Cisco)) :
+Par défaut les résultats de commandes s'affichent page par page ; pour afficher tout le retour en une seule fois (pour supprimer les "Press <SPACE> to continue or <Q> to quit: ~more" (''terminal length 0'' chez Cisco)) :
 <code bash>
+disable cli paging
+enable cli paging
+# pour les versions EXOS antérieures à 30:
 disable clipaging
 enable clipaging
 </code>
-Depuis les version 30, les commandes précitées, bien que toujours prises en compte, deviennent :
-<code bash>
-disable cli paging
-enable cli paging
-</code>
 =====Licences=====
@@ Line 90: / Line 90: @@
 Dillinger Version:		0**  (6)
-# afficher les informations d'un GBIC/SFP
+# x695
+Slot  1 Version Information:
+Branch       :                  31.7.2.28-patch1-75
+Version:                        31.7.2.28
+Card type:                      X695-48Y-8C rev 0
+MAC--1:                         BCM56770_A0
+Saved Chip Data:                 (00000000 22) 0
+CPU Core:                       Intel(R) Atom(TM) CPU C3758 @ 2.20GHz
+CPU Memory Size:                16384 MB
+Alternate Bootrom Version:      unsupported
+Default Bootrom Version:        unsupported
+</code>
+Afficher les informations d'un GBIC/SFP
+<code bash>
 debug hal show optic-info slot 1 port 52
@@ Line 110: / Line 124: @@
 ====Management====
-Configurer une adresse IP sur le port de management ''Mgmt'' (situé physiquement à côté du port Console) :
+Configurer une adresse IP sur le port de management ''Mgmt'' (situé physiquement au dessus du port Console) :
+Vérifier le DHCP :
 <code bash>
-configure vlan Mgmt ipaddress 10.0.0.1 255.255.255.0
+show dhcp-client ipv4 state
+Client VLAN     Protocol Server          Current State
+--------------- -------- --------------- ---------------------------------------
+Default         None     0.0.0.0
+Mgmt            None     0.0.0.0
+# désactiver le DHCP (au besoin)
+disable dhcp vlan all
+</code>
+<code bash>
+# configurer l'IP du port de Management
+configure vlan Mgmt ipaddress 10.0.0.1 255.255.255.0
 # configurer sa route par défaut
 configure iproute add default 10.0.0.254 vr VR-Mgmt
 </code>
-Ce port est affecté au vlan Mgmt, lui-même attribué au VR-Mgmt. Cela signifie qu'il est indépendant de la configuration des autres ports et routes du switch, ce qui permet d'avoir un accès indépendant pour plus de sécurité. Par défaut tous les autres ports sont positionnés dans le VR-Default.
+Parfois, ça bug et on ne peut toujours pas configurer d'adresse IP, alors il faut feinter :
+<code bash>
+sh vlan
+Untagged ports auto-move: Inform
+-----------------------------------------------------------------------------------------------
+Name            VID  Protocol Addr       Flags                         Proto  Ports
+-----------------------------------------------------------------------------------------------
+Mgmt            4095 169.254.120.0  /16  ---------------------------   ANY    0 /1   VR-Mgmt
+-----------------------------------------------------------------------------------------------
+!
+disable dhcp vlan all
+WARNING: VLAN "Mgmt" is not configured as a DHCP client
+!
+unconfigure vlan Mgmt ipaddress
+Error: Dhcp/Bootp configured IP address cannot be removed on VLAN Mgmt
+!
+conf vlan Mgmt ipaddress 10.0.0.1 255.255.0.0
+Error: DHCP/BOOTP is enabled on the VLAN
+# contournement
+enable dhcp vlan Mgmt
+disable dhcp vlan Mgmt
+unconf vlan Mgmt ipaddress
+!
+conf vlan Mgmt ipaddress 10.0.0.1 255.255.0.0
+IP interface for VLAN Mgmt has been created.
+</code>
+Ce port est affecté au vlan Mgmt, lui-même attribué au VR-Mgmt. Cela signifie qu'il est indépendant de la configuration des autres ports et routes du switch, ce qui permet d'avoir un accès indépendant pour plus de sécurité. Ce port de mgmt n'est [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000059306|pas reconfigurable et ne peut pas être supprimé du VLAN 4095 de management]]. Par défaut tous les autres ports sont positionnés dans le VR-Default.
 Si on ne veut pas se servir de ce port de Mgmt dédié, on peut tout-à-fait configurer une IP sur un VLAN du VR de prod, par exemple le VLAN "Default" :
@@ Line 130: / Line 186: @@
 </code>
-Il est possible de positionner une adresse par VLAN si on le souhaite. Si on veut activer le routage entre ces VLANs, il faut activer l'ipforwarding dessus (cf [[informatique:extreme_networks#Routage|routage]])
+Il est possible de positionner une adresse par VLAN si on le souhaite. Si on veut activer le routage entre ces VLANs, il faut activer l' ''ipforwarding'' dessus (cf [[informatique:extreme_networks#Routage|routage]])
 Afficher et modifier la configuration de l'admin du switch (SSH, TELNET, idle-timeout, etc)
@@ Line 313: / Line 369: @@
 cf : https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-access-an-EXOS-switch-using-a-one-time-failsafe-password
+====Radius / mgmt-access====
+Pour utiliser une d'utilisateur base distante et centralisé, on peut configurer le client Radius :
+<code bash>
+configure radius mgmt-access primary server 10.0.1.1 1812 client-ip 10.0.2.254 vr VR-Default
+configure radius mgmt-access primary shared-secret <MDP défini sur le serveur Radius>
+enable radius mgmt-access
+</code>
 ====Politique de mots de passe====
@@ Line 511: / Line 575: @@
 ====Firmware====
-Pour obtenir la version d'EXOS (ici 21.1.1.4) :
+Pour obtenir la version d'EXOS courante (ici 21.1.1.4) :
 <code bash>
 show version
@@ Line 526: / Line 590: @@
 </code>
 Cette commande retourne également la liste des commutateurs de la stack et les modules additionnels, ainsi que leurs //serial number// respectifs (ici SN=1531N-01234).
+Consulter la page [[https://www.extremenetworks.com/support/compatibility-matrices/sw-release-extremexos-eos/|ExtremeXOS and Switch Engine Release Recommendations]] pour connaitre la version recommandée par le constructeur.
 ===MAJ firmware===
@@ Line 533: / Line 599: @@
 <code bash>
 download image  1.1.1.1 <filename> vr "VR-Default" secondary
+</code>
+Téléchargement sur la partition inactive + installation + reboot (all-in-one)
+<code bash>
+download image 1.1.1.1 summitX-31.7.2.28-patch1-38.xos vr VR-Mgmt install reboot
 </code>
   * via clé USB
+ref:  [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000081794|Upgrade Switch Engine (EXOS) via USB]]
+Avant EXOS 31.1:
 <code bash>
-# puis vérifier qu'elle soit reconnue
+# vérifier qu'elle soit reconnue (elle doit être en FAT32)
 show memorycard
@@ Line 546: / Line 621: @@
  This image will be used only after rebooting the switch!
 </code>
+Depuis la version EXOS 31.1
+<code bash>
+# vérifier que la clé USB est reconnue et montée (elle doit être en FAT32)
+show switch mounts
+Memory storage is present.
+!
+show switch usb
+USB port: Disabled
+# Si KO, activer la prise en chagre de l'USB
+enable switch usb
+This setting will take effect at the next system reboot
+# la clé USB est montée ici:
+ls /usr/local/ext
+-rwxrwxr--    1 admin    admin    113982743 Mar 26 18:50 summit_arm-32.7.2.19.xos
+[..]
+# copier l'image dans la mémoire interne
+download url file:///usr/local/ext/summit_arm-32.7.2.19.xos
+</code>
+Puis ''reboot''.
   * via scp
@@ Line 579: / Line 677: @@
   * ''Error: Failed to download image on Slot-3 - tftp: write error''
 L'erreur apparait après téléchargement de l'image sur le master, pendant le transfert vers les autres slots de la stack, lors de la MAJ de le 22 vers la v30.7. En passant par la version intermédiaire 30.2.1.8, le problème n'apparait plus. ([[https://gtacknowledge.extremenetworks.com/articles/Solution/000043762|source GTAC]])
+  * autre erreur TFTP quand on passe de la 30.1 à la 30.3 : ''rm: cannot remove '/scratch': Device or resource busy
+ Error: Failed to download image on Slot-2 - tftp: write error'' -> [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000058389|Upgrading To EXOS 30.3 or Higher Fails with TFTP Errors]]
 ====Commandes UNIX-like====
@@ Line 715: / Line 817: @@
 # Utiliser un filtre de famille de fonctionnalités (ici la partie DNS/NTP/DHCP relay, etc)
 show configuration nettools
+</code>
+Lorsqu'il y a un delta config entre la configuration active (running) et celle sauvegardée (dans la flash, primary.conf par ex), le prompt est préfixé par ''* ''. Pour afficher les différences entre les 2 confs :
+<code bash>
+* Slot-1 toto.3 # show conf difference
+--- primary.cfg                 Tue Sep 10 09:42:09 2024
++++ Running Configuration       Thu Oct 10 15:03:18 2024
+@@ -1,7 +1,7 @@
+ #
+ # Module devmgr configuration.
+ #
+-configure snmp sysName "titi"
++configure snmp sysName "toto"
+[...]
 </code>
@@ Line 906: / Line 1022: @@
 show fdb ports <port>
 show fdb vlan <vlan>
+# enregistrer une entrée statique dans le FDB
+# create [fdbentry | fdb] <mac_addr> vlan <vlan_name> ports <port#>
+create fdb 00:11:22:33:44:55 vlan v10_users ports 12
 # interroger la table ARP (association adresse IP <-> MAC)
@@ Line 918: / Line 1038: @@
 show iparp vlan <vlan>
 </code>
+# créer une association ARP statique :
+configure iparp add 10.0.20.2 vr VR-Default bc:30:5b:12:34:56
 [[https://gtacknowledge.extremenetworks.com/articles/Q_A/How-to-check-ports-for-possible-blocking|Commande de diagnostique bas niveau]] :
@@ Line 1089: / Line 1212: @@
 configure mac-locking ports 47 static [add | enable | disable] @MAC
 </code>
+====authentification par mac====
+On peut également faire vérifier l'adresse MAC d'un port par un serveur Radius, et si validé, basculer ce port sur le VLAN envoyé par le serveur Radius.
+===Configuration côté switch===
+<code bash>
+# création du VLAN d'accueil (VLAN par défaut si MAC non authentifiée) et 10 (VLAN utilisateur)
+create vlan v10_Users tag 10
+create vlan v666_Accueil tag 666
+!
+# configuration du serveur Radius
+configure radius netlogin primary server 10.4.1.1 1814 client-ip 10.5.255.253 vr VR-Default
+configure radius netlogin primary shared-secret encrypted "blablahashé"
+!
+# configuration de l'authentification par adresse MAC
+configure netlogin vlan v666_Accueil
+enable netlogin mac
+configure netlogin mac authentication database-order radius
+# on active la protection MAC sur les port 1 à 8 (arbitraire)
+enable netlogin ports 1-8 mac
+configure netlogin add mac-list ff:ff:ff:ff:ff:ff 48
+!
+enable radius
+enable radius netlogin
+</code>
+NB: le VLAN d'accueil ne peut pas être propagé sur d'autres switchs (voir: [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000085498|When configuring 802.1X authentication, why can't I configure netlogin VLANs on tagged trunk ports?]])
+===Configuration côté serveur Radius===
+Dans le cas de freeradius, il faut :
+* ajouter l'IP du switch (10.5.255.253) et son "secret" dans clients.conf
+* activer le plugin **authorized_macs**
+* peupler le fichier **authorized_macs** avec la liste des adresses MAC permises (format 00-11-22-33-44-55)
+* dans la section authorize de la configuration du site :
+<file site-enabled/mac-auth>
+[...]
+authorize {
+   preprocess
+   # convertir l'@ mAC dans le bon format
+   rewrite_calling_station_id
+   #auth_log
+   authorized_macs
+   if (ok) {
+      # The MAC address was found, so update Auth-Type to accept this auth.
+      update control {
+         Auth-Type := Accept
+      }
+      update reply {
+         Tunnel-Type := VLAN
+         Tunnel-Medium-Type := IEEE-802
+         Tunnel-private-Group-ID := 100
+      }
+   }
+}
+[...]
+</file>
 =====Spanning-tree=====
@@ Line 1521: / Line 1703: @@
   * [[https://gtacknowledge.extremenetworks.com/articles/How_To/Getting-started-with-Summit-Stacking|Getting started with Summit Stacking]]
     * et particulièrement : [[https://gtacknowledge.extremenetworks.com/articles/How_To/000001503|How to create a stack with Summit switches]]
+    * [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000087807|Where Can I Find the EXOS Stacking Tool?]] -> (spoil: [[https://stackingtool.extremenetworks.com/StackingTool/|Stacking tool]])
 ====Divers====
@@ Line 1702: / Line 1885: @@
 show bgp neighbor 10.55.200.92 accepted-routes all
 show bgp neighbor 10.55.200.92 rejected-routes all
+[...]
+BGP Route Statistics
+  Total Rxed Routes : 8
+  Rejected Routes   : 1
+  Unfeasible Routes : 0
 !
 show bgp neighbor 10.55.200.92 transmitted-routes all
@@ Line 1713: / Line 1901: @@
 show bgp neighbor 10.55.200.92 suppressed-routes all
 </code>
+<WRAP center round important 80%>
+Les commandes précédentes n'affiche que le nombre de route demandées (rejected/suppressed ; pour voir les routes rejetées/supprimées [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000095632|il faut activer l'option]] ''soft-reset in/out'' : ''configure bgp neighbor 10.55.200.92 soft-reset [ in | out ]''
+</WRAP>
 ===Suppression de la conf BGP===