Differences

This shows you the differences between two versions of the page.

--- informatique:extreme_networks [2023/09/07 10:09] – mgmt port pteu
+++ informatique:extreme_networks [2025/10/15 15:30] (current) – [authentification par mac] pteu
@@ Line 90: / Line 90: @@
 Dillinger Version:		0**  (6)
-# afficher les informations d'un GBIC/SFP
+# x695
+Slot  1 Version Information:
+Branch       :                  31.7.2.28-patch1-75
+Version:                        31.7.2.28
+Card type:                      X695-48Y-8C rev 0
+MAC--1:                         BCM56770_A0
+Saved Chip Data:                 (00000000 22) 0
+CPU Core:                       Intel(R) Atom(TM) CPU C3758 @ 2.20GHz
+CPU Memory Size:                16384 MB
+Alternate Bootrom Version:      unsupported
+Default Bootrom Version:        unsupported
+</code>
+Afficher les informations d'un GBIC/SFP
+<code bash>
 debug hal show optic-info slot 1 port 52
@@ Line 111: / Line 125: @@
 Configurer une adresse IP sur le port de management ''Mgmt'' (situé physiquement au dessus du port Console) :
+Vérifier le DHCP :
 <code bash>
-configure vlan Mgmt ipaddress 10.0.0.1 255.255.255.0
+show dhcp-client ipv4 state
+Client VLAN     Protocol Server          Current State
+--------------- -------- --------------- ---------------------------------------
+Default         None     0.0.0.0
+Mgmt            None     0.0.0.0
+# désactiver le DHCP (au besoin)
+disable dhcp vlan all
+</code>
+<code bash>
+# configurer l'IP du port de Management
+configure vlan Mgmt ipaddress 10.0.0.1 255.255.255.0
 # configurer sa route par défaut
 configure iproute add default 10.0.0.254 vr VR-Mgmt
 </code>
+Parfois, ça bug et on ne peut toujours pas configurer d'adresse IP, alors il faut feinter :
+<code bash>
+sh vlan
+Untagged ports auto-move: Inform
+-----------------------------------------------------------------------------------------------
+Name            VID  Protocol Addr       Flags                         Proto  Ports
+-----------------------------------------------------------------------------------------------
+Mgmt            4095 169.254.120.0  /16  ---------------------------   ANY    0 /1   VR-Mgmt
+-----------------------------------------------------------------------------------------------
+!
+disable dhcp vlan all
+WARNING: VLAN "Mgmt" is not configured as a DHCP client
+!
+unconfigure vlan Mgmt ipaddress
+Error: Dhcp/Bootp configured IP address cannot be removed on VLAN Mgmt
+!
+conf vlan Mgmt ipaddress 10.0.0.1 255.255.0.0
+Error: DHCP/BOOTP is enabled on the VLAN
+# contournement
+enable dhcp vlan Mgmt
+disable dhcp vlan Mgmt
+unconf vlan Mgmt ipaddress
+!
+conf vlan Mgmt ipaddress 10.0.0.1 255.255.0.0
+IP interface for VLAN Mgmt has been created.
+</code>
 Ce port est affecté au vlan Mgmt, lui-même attribué au VR-Mgmt. Cela signifie qu'il est indépendant de la configuration des autres ports et routes du switch, ce qui permet d'avoir un accès indépendant pour plus de sécurité. Ce port de mgmt n'est [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000059306|pas reconfigurable et ne peut pas être supprimé du VLAN 4095 de management]]. Par défaut tous les autres ports sont positionnés dans le VR-Default.
@@ Line 519: / Line 575: @@
 ====Firmware====
-Pour obtenir la version d'EXOS (ici 21.1.1.4) :
+Pour obtenir la version d'EXOS courante (ici 21.1.1.4) :
 <code bash>
 show version
@@ Line 534: / Line 590: @@
 </code>
 Cette commande retourne également la liste des commutateurs de la stack et les modules additionnels, ainsi que leurs //serial number// respectifs (ici SN=1531N-01234).
+Consulter la page [[https://www.extremenetworks.com/support/compatibility-matrices/sw-release-extremexos-eos/|ExtremeXOS and Switch Engine Release Recommendations]] pour connaitre la version recommandée par le constructeur.
 ===MAJ firmware===
@@ Line 541: / Line 599: @@
 <code bash>
 download image  1.1.1.1 <filename> vr "VR-Default" secondary
+</code>
+Téléchargement sur la partition inactive + installation + reboot (all-in-one)
+<code bash>
+download image 1.1.1.1 summitX-31.7.2.28-patch1-38.xos vr VR-Mgmt install reboot
 </code>
   * via clé USB
+ref:  [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000081794|Upgrade Switch Engine (EXOS) via USB]]
+Avant EXOS 31.1:
 <code bash>
-# puis vérifier qu'elle soit reconnue
+# vérifier qu'elle soit reconnue (elle doit être en FAT32)
 show memorycard
@@ Line 554: / Line 621: @@
  This image will be used only after rebooting the switch!
 </code>
+Depuis la version EXOS 31.1
+<code bash>
+# vérifier que la clé USB est reconnue et montée (elle doit être en FAT32)
+show switch mounts
+Memory storage is present.
+!
+show switch usb
+USB port: Disabled
+# Si KO, activer la prise en chagre de l'USB
+enable switch usb
+This setting will take effect at the next system reboot
+# la clé USB est montée ici:
+ls /usr/local/ext
+-rwxrwxr--    1 admin    admin    113982743 Mar 26 18:50 summit_arm-32.7.2.19.xos
+[..]
+# copier l'image dans la mémoire interne
+download url file:///usr/local/ext/summit_arm-32.7.2.19.xos
+</code>
+Puis ''reboot''.
   * via scp
@@ Line 587: / Line 677: @@
   * ''Error: Failed to download image on Slot-3 - tftp: write error''
 L'erreur apparait après téléchargement de l'image sur le master, pendant le transfert vers les autres slots de la stack, lors de la MAJ de le 22 vers la v30.7. En passant par la version intermédiaire 30.2.1.8, le problème n'apparait plus. ([[https://gtacknowledge.extremenetworks.com/articles/Solution/000043762|source GTAC]])
+  * autre erreur TFTP quand on passe de la 30.1 à la 30.3 : ''rm: cannot remove '/scratch': Device or resource busy
+ Error: Failed to download image on Slot-2 - tftp: write error'' -> [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000058389|Upgrading To EXOS 30.3 or Higher Fails with TFTP Errors]]
 ====Commandes UNIX-like====
@@ Line 723: / Line 817: @@
 # Utiliser un filtre de famille de fonctionnalités (ici la partie DNS/NTP/DHCP relay, etc)
 show configuration nettools
+</code>
+Lorsqu'il y a un delta config entre la configuration active (running) et celle sauvegardée (dans la flash, primary.conf par ex), le prompt est préfixé par ''* ''. Pour afficher les différences entre les 2 confs :
+<code bash>
+* Slot-1 toto.3 # show conf difference
+--- primary.cfg                 Tue Sep 10 09:42:09 2024
++++ Running Configuration       Thu Oct 10 15:03:18 2024
+@@ -1,7 +1,7 @@
+ #
+ # Module devmgr configuration.
+ #
+-configure snmp sysName "titi"
++configure snmp sysName "toto"
+[...]
 </code>
@@ Line 1104: / Line 1212: @@
 configure mac-locking ports 47 static [add | enable | disable] @MAC
 </code>
+====authentification par mac====
+On peut également faire vérifier l'adresse MAC d'un port par un serveur Radius, et si validé, basculer ce port sur le VLAN envoyé par le serveur Radius.
+===Configuration côté switch===
+<code bash>
+# création du VLAN d'accueil (VLAN par défaut si MAC non authentifiée) et 10 (VLAN utilisateur)
+create vlan v10_Users tag 10
+create vlan v666_Accueil tag 666
+!
+# configuration du serveur Radius
+configure radius netlogin primary server 10.4.1.1 1814 client-ip 10.5.255.253 vr VR-Default
+configure radius netlogin primary shared-secret encrypted "blablahashé"
+!
+# configuration de l'authentification par adresse MAC
+configure netlogin vlan v666_Accueil
+enable netlogin mac
+configure netlogin mac authentication database-order radius
+# on active la protection MAC sur les port 1 à 8 (arbitraire)
+enable netlogin ports 1-8 mac
+configure netlogin add mac-list ff:ff:ff:ff:ff:ff 48
+!
+enable radius
+enable radius netlogin
+</code>
+NB: le VLAN d'accueil ne peut pas être propagé sur d'autres switchs (voir: [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000085498|When configuring 802.1X authentication, why can't I configure netlogin VLANs on tagged trunk ports?]])
+===Configuration côté serveur Radius===
+Dans le cas de freeradius, il faut :
+* ajouter l'IP du switch (10.5.255.253) et son "secret" dans clients.conf
+* activer le plugin **authorized_macs**
+* peupler le fichier **authorized_macs** avec la liste des adresses MAC permises (format 00-11-22-33-44-55)
+* dans la section authorize de la configuration du site :
+<file site-enabled/mac-auth>
+[...]
+authorize {
+   preprocess
+   # convertir l'@ mAC dans le bon format
+   rewrite_calling_station_id
+   #auth_log
+   authorized_macs
+   if (ok) {
+      # The MAC address was found, so update Auth-Type to accept this auth.
+      update control {
+         Auth-Type := Accept
+      }
+      update reply {
+         Tunnel-Type := VLAN
+         Tunnel-Medium-Type := IEEE-802
+         Tunnel-private-Group-ID := 100
+      }
+   }
+}
+[...]
+</file>
 =====Spanning-tree=====
@@ Line 1536: / Line 1703: @@
   * [[https://gtacknowledge.extremenetworks.com/articles/How_To/Getting-started-with-Summit-Stacking|Getting started with Summit Stacking]]
     * et particulièrement : [[https://gtacknowledge.extremenetworks.com/articles/How_To/000001503|How to create a stack with Summit switches]]
+    * [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000087807|Where Can I Find the EXOS Stacking Tool?]] -> (spoil: [[https://stackingtool.extremenetworks.com/StackingTool/|Stacking tool]])
 ====Divers====
@@ Line 1717: / Line 1885: @@
 show bgp neighbor 10.55.200.92 accepted-routes all
 show bgp neighbor 10.55.200.92 rejected-routes all
+[...]
+BGP Route Statistics
+  Total Rxed Routes : 8
+  Rejected Routes   : 1
+  Unfeasible Routes : 0
 !
 show bgp neighbor 10.55.200.92 transmitted-routes all
@@ Line 1728: / Line 1901: @@
 show bgp neighbor 10.55.200.92 suppressed-routes all
 </code>
+<WRAP center round important 80%>
+Les commandes précédentes n'affiche que le nombre de route demandées (rejected/suppressed ; pour voir les routes rejetées/supprimées [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000095632|il faut activer l'option]] ''soft-reset in/out'' : ''configure bgp neighbor 10.55.200.92 soft-reset [ in | out ]''
+</WRAP>
 ===Suppression de la conf BGP===