La marque Enterasys a été rachetée par Extreme Networks il y a quelques temps déjà, mais certaines gammes d'équipements continuent encore d'être vendue.

Accessibles en telnet par défaut, on peut activer l'accès HTTP, HTTPS ou SSH.

Pour configurer l'IP d'admin, le masque réseau et la passerelle du commutateur :

set ip address 10.1.11.22 mask 255.255.255.0 gateway 10.1.11.254

Par défaut le VLAN de management (celui sur lequel sera positionnée l'IP d'admin) est le 1. Pour changer son tag (1 → 66 par exemple) :

set host vlan 66

Il est de la forme : HOSTNAME(DROITS)→, avec “DROITS” parmi “su”, “rw” ou “ro” (SuperUser, ReadWrite ou ReadOnly), et “HOSTNAME” est le nom du switch défini avec la commande :

set prompt HOSTNAME

On peut filtrer le résultat d'une commande (noter l’absence d'espace avant le mot-clé “find”) :

show config |find toto

Pour configurer une bannière (login est la bannière de pré-login, motd celle de post-login)

set banner [ motd | login ] "message" 
 
show banner [ motd | login ]

Pour forcer la taille du terminal (hauteur et largeur) :

set length | width <nb de caractères>
 
# en définissant une hauteur infinie on désactive les "more"
set length 0

Par défaut, 3 comptes sont préconfigurés à la sortie d'usine, chacun avec un mot de passe vide :

• admin
• rw
• ro

Si les logins sont parlant quant à leur droits d'accès, il faut savoir que “rw” et “ro” n'apparaissent pas dans une show conf. Par sécurité il est conseiller de supprimer ou désactiver ces derniers ainsi que de changer le mot de passe admin.

# supprimer les comptes
clear system login rw
clear system login ro
 
# ou juste les désactiver
set system login rw read-write disable
set system login ro read-only disable
 
# changer le mdp du compte admin
set password admin

Pour lister les comptes utilisateurs ainsi que la politique de mots de passe :

show system login
Password history size: 0
Password aging       : disabled 
 
Username     Access           State 
 
admin       super-user        enabled     
ro          read-Only         enabled     
rw          read-write        enabled

Pour lister les utilisateurs connectés

show users

Seul le TELNET est activé par défaut ; pour activer les accès SSH :

set ssh enabled

Pour bloquer un login pendant 10 minutes si l'utilisateur saisit 5 mauvais mots de passe d'affiler :

set system lockout attempts 5 time 10
 
show system lockout

A utiliser avec parcimonie puisque une personne malveillante peut bloquer le prompt admin…

Configurer le temps d'inactivité, en minutes, avant déconnexion (idle timeout) :

set logout 160

Le CDP ou LLDP est un protocole de découverte des voisins ; il est donc recommandé, par sécurité, de ne l'activer que sur les interconnexions entre nos équipements.

show cdp
show lldp
 
# afficher les voisins détectés en CDP/LLDP sur le même segment ethernet
show neighbors

Pour afficher les logs

show logging buffer
 
# activer les logs sur la console et dans un fichier (current.log)
set logging local console enable file enable

Pour logguer de façon plus fine certaines fonctions (par ex le STP)

show logging application
set logging application STP level 8

Configurer l'export des logs vers un serveur syslog externe :

set logging server 1 ip-addr 10.68.77.12 severity 7 descr 'serveur_rsyslog' state enable
show logging server 

Pour logguer les UP/DOWN des ports

set linkflap portstate enable

Depuis la version 06.61 il existe la directive sfile enable qui permet de logguer les actions des utilisateurs (en local et vers les serveurs syslog configurés) :

set logging local console enable file enable sfile enable

Sur un B2, B3, C3 et d'autres modèles : il y a un petit trou à l'arrière du châssis, juste à droite du port stack. Il faut utiliser une aiguille pour l'atteindre, et l'enfoncer 5 secondes. “Password Reset button has been pressed” apparaît en console et dans les logs.

Il n'y a pas d'interruption de service, on peut ensuite se connecter directement en admin sans mot de passe.

# permet d'afficher l'uptime du switch et l'état du système
# (aimentations, ventilateurs, températures)
show system
 
# pour surveiller la charge CPU du switch et l'utilisation de la mémoire (vive et morte)
show system utilization
show system utilization cpu
show system utilization process [slot x]
 
# afficher le modèle, SN, adresse MAC, le firmware
show system hardware
 
# afficher la version du firmware et le SN
show version
 
# affiche sur quelle image va démarrer le switch au prochain reboot
show boot system
# lister les images et les fichiers de configuration présents sur la mémoire flash
dir
 
# afficher les connexion ouvertes
show netstat

Rebooter/redémarrer un module dans un châssis :

reset nemcpu <slot_nb.cpu_nb>
# ex :
reset nemcpu 4.1 (mod 4, cpu 1)

set time 7:50:00
set summertime enable

Cependant il vaut mieux configurer le protocole NTP/SNTP :

set sntp client unicast
set sntp server 10.1.11.24 precedence 2
set sntp server 10.1.11.108

Le boot menu est le menu minimaliste auquel on accède avant le chargement du firmware (un peu comme le BIOS d'un PC). Il permet des opérations de dépannage et de recovery notamment.

On y accède pendant les premières secondes de boot en tapant 2 (par exemple sur un D2G) :

Enterasys D2-Series Boot Code...
SDRAM Circuit Test of 255MB
100%
 
 
Version 01.00.46 12-09-2010
 
Computing MD5 Checksum of operational code...
Select an option. If no selection in 2 seconds then
operational code will start.
 
1 - Start operational code.
2 - Start Boot Menu.
Select (1, 2):

Puis un mot de passe vous est demandé ; par défaut c'est “administrator”.

Ensuite s'affiche le menu de boot qui donne accès aux fonctions suivantes :

Boot Menu Version 01.00.46 12-09-2010
 
 
Options available
1  - Start operational code
2  - Change baud rate
3  - Retrieve event log using XMODEM (64KB).
4  - Load new operational code using XMODEM
5  - Display operational code vital product data
6  - Update Boot Code
7  - Delete operational code
8  - Reset the system
9  - Restore Configuration to factory defaults (delete config files)
10 - Set new Boot Code password

Pour afficher la configuration :

show config
 
# afficher également les lignes avec des valeurs par défaut
show config all
 
# pour filtrer le résultat sur un mot-clé :
show config |find toto
 
# sauvegarder le résultat dans le fichier (current.cfg)
show config outfile configs/current.cfg

Faire un factory reset (supprimer la configuration) :

clear config
 
# supprimer aussi le stack unit ID, sa priorité et l'IP de mgmt (mais pas la licence)
clear config all

# 1) enregistrer la conf localement dans un fichier
show config outfile configs/20150721_switch.conf
# 2) envoyer ce fichier vers un serveur TFTP
copy configs/20150721_switch.conf tftp://10.1.2.211/20150721_switch.conf

NB : sur les modèles “stackables” (1U) les fichiers sont enregistrés sur l'espace de stockage configs/ ; pour les chassis (Matrix E ou S) il faut préciser le module (slot1/ par exemple) :

show config outfile slot1/20150721_chassi.conf

On réalise la procédure inverse, puis on injecte le fichier obtenu avec la commande configure (attention l'équipement redémarrera) :

# 1) récupération de la sauvegarde sur le serveur TFTP
copy tftp://10.1.2.211/20150721_switch.conf configs/20150721_switch.conf
# 2) application de celle-ci (écrase la précédente conf, ou l'appliquer par dessus l'ancienne (append)) :
configure configs/20150721_switch.conf [ append ]

Même procédure que pour importer une conf via TFTP ; puis modifier l'image de boot :

# sur les Matrix
copy tftp://10.1.2.201/DFE-P-61208-0003 images/DFE-P-61208-0003
# sur les B/C/D series
copy tftp://10.1.2.201/d2-series_06.03.15.0002 system:image
 
set boot system DFE-P-61208-0003

Si plus de place (Error: No space left on the device. Please remove backup file), supprimer une ancienne image :

dir
delete d2-series_01.00.00.0029

Commandes à saisir pour un autodiagnostique complet (à envoyer au support le cas échéant) :

show logging buffer
show support

source : https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-collect-a-show-tech-or-a-tech-support-to-provide-to-GTAC

# afficher le status d'un port (alias, activation, speed, duplex)
show port status [ tg.6.1 ]
 
# affiche la portion de configuration correspondant aux ports ("#port")
show config port
 
# activer/désactiver un port
set port enable ge.1.1
set port disable ge.1.1
 
# attribuer une description sur un port
set port alias ge.1.12 uplink_vers_central
 
# afficher la capacité du port et celle annoncé par la port d'en face (si autoneg)
show port advertise ge.1.12
ge.1.12      capability    advertised     remote 
-------------------------------------------------
10BASE-T        yes          yes          no
10BASE-TFD      yes          yes          yes
100BASE-TX      yes          yes          no
100BASE-TXFD    yes          yes          yes
1000BASE-T      no           no           no
1000BASE-TFD    yes          yes          yes
pause           yes          yes          yes
 
# configurer le speed/duplex/négociation (exemple pour forcer un port en 100/FD)
set port speed ge.2.1 100
set port duplex ge.2.1 full
set port negotiation ge.2.1 disable

Pour supprimer la configuration d'un port (par exemple pour supprimer l'alias) :

clear port alias ge.1.9

Exception faite pour les paramètres de négociation, speed et duplex, qui se réinitialisent ainsi :

set port negotiation ge.1.1 enable
set port speed ge.1.1 10
set port duplex ge.1.1 half

Pour filtrer les broacast (ici on limite à 2000 pkts/s) :

set port broadcast 2000

Dropper les paquets taggués sur un port (edge typiquement)

set port discard ge.1.10 tagged

La fonctionnalité mac-security permet de limiter et bloquer le nombre et la valeur d'@mac sur un port

set maclock enable ge.2.72
# nb max d'@ mac sur le port (1)
set maclock static ge.2.72 1
# n'autoriser que cette @ mac
set maclock 00-11-88-00-11-22 ge.2.72

Basic traffic shaping :

show port ratelimit <portstring>
 
set port ratelimit enable
set port ratelimit <portstring>
clear port ratelimit <portstring>

show rmon stats ge.2.65
show port counters ge.2.65 [switch]

Reset des compteurs (NB : impossible avec les Matrix N7, par contre on peut utiliser les compteurs rmon)

clear port counter ge.2.72

La notation des agrégats, interfaces logiques regroupant plusieurs interfaces physiques pour améliorer le débit et la redondance, chez Enterasys, est de la forme : lag.0.x.

Enterasys implémente la détection automatique des agrégats et ne nécessite pas de configuration particulière si celle par défaut convient. Cependant il vaut mieux configurer l'agrégat afin de s'assurer qu'il est correctement détecté et qu'il utilise un numéro de port invariant.

Procédure pour forcer 2 ports ge.1.24 et ge.1.25 à rejoindre le lag.0.4 :

set lacp enable
# pour permettre au lag de rester UP même s'il ne possède qu'une interface physique UP
set lacp singleport enable
 
set lacp aadminkey lag.0.1 1
set port lacp port ge.1.24-25 aadminkey 1
set port lacp port ge.1.24-25 enable

Vérifications/diagnostique :

show lacp
show port lacp port ge.1.24 status detail
show port lacp port ge.1.25 status detail
show port lacp port ge.1.24 status summary

Chaque lien appartenant à un agrégat est testé par l'envoi de paquets de contrôle (~hello packets) qui permettent de détecter un problème quand le lien n'est pas DOWN, et sortir de l'agrégat le port en erreur, le cas échéant. Ces paquets sont envoyés toutes les 10 secondes par défaut, ce qui permet une détection en 3 x 10 = 30 secondes.

Pour baisser ces timers à 1 seconde (pour une détection en 3 secondes), passer la commande suivante sur chaque port physique (et sur les 2 switchs) :

# exemple avec les ports tg.2.1 et tg.3.1 sur un premier switch
set port lacp port tg.2.1,tg.3.1 aadminstate lacptimeout​

Créer un VLAN (17 par exemple)

set vlan create 17
set vlan name 17 "SomeName"

# afficher les VLANs actifs (dont les ports sont UP)
show vlans
 
# afficher tous les VLANs configurés (avec leurs ports, UP ou non)
show vlans static
 
# affiche/configurer le vlan natif d'un port
show port vlan
set port vlan ge.1.1 66 [ modify-egress ]
# modify-egress permet de supprimer automatiquement tous les autres VLANs untagged du port
 
# trunker le vlan (300) sur un port (ge.5.1) en taggué
set vlan egress 300 ge.5.1 tagged
 
# supprimer les VLANs 2,5,9 du port ge.1.1
clear vlan egress 2,5,9 ge.1.1
 
# afficher les VLANs configurés (tag/untagged) sur un port
show port egress ge.1.12
 
# afficher les VLANs configurés par port (tag/untag)
show vlan portinfo [ port <PORT> ]

# afficher la table d'adresses MAC par VLAN (colonne FID) et par port
show mac
 
# afficher l'adresse MAC vue sur le port ge.1.1
show mac port ge.1.1
 
# rechercher sur quel port est vue une adresse MAC
show mac address 00-11-88-4A-28-BF

Activer la surveillance MAC move

set movedaddrtrap enable
set movedaddrtrap *.*.* enable
show logging buffer

Afficher la table ARP d'un switch :

show arp

La MTU des ports est configurable jusqu'à 9216 octets

show port jumbo ge.1.5
 
# si ce n'est pas déjà fait, activer les jumbo frames puis saisir une valeur
set port jumbo enable ge.1.5
set port jumbo ge.1.5 9216

Par défaut le MSTP est activé, mais on peut forcer en RSTP ou “stpcompatible”.

show spantree version
show spantree stats
# afficher les ports actifs en plus
show spantree stats active
 
# bloquer les port edge qui envoient des BPDU
# (attention aux PC qui ont un bridge br0 (ex : libvirt))
set spantree spanguard enabled

Debug (uniquement sur les châssis Matrix) :

show spantree debug
show spantree debug port tg.7.1
# view if high counts on "Ports with Received TC BPDUs"
show spantree debug port *.*.* active 
show spantree stats port *.*.* sid 0

Pour activer/désactiver le STP :

# activer/désactiver le STP : dépend du modèle : sur A/B/C/D/G/I-Series :
set spantree enable / disable
# sur K/N/S/7100-Series :
set spantree stpmode ieee8021 / none

Logger les events LoopProtect :

set spantree lptrapenable enable

src : https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-configure-policy-to-drop-or-block-IPV6-packets-on-Securestacks-and-Modular-switches-routers

set policy profile 1 name ICMP-IPv6
set policy rule 1 ether 0x86dd mask 16 drop
# appliquer sur chaque port
set policy rule admin-profile port ge.1.1 mask 16 port-string ge.1.1 admin-pid 1
# ou plus simple nb : à tester car plus simple !
set policy port *.*.* 1
 
show policy profile 1 -verbose
 
# retirer la policy d'un port
set policy port tg.3.3 0

Fonctionnement du stacking (source) :

• un switch master, les autres “members” ; avec un backup en cas de panne du master
• seul le port console du master est actif
• critère s d'élection du master:

    Previously assigned / elected management unit
    User-assigned priority  ('set switch <ID> priority <15-0>', where15 is high priority)(7694)
    Hardware preference level
    Highest MAC Address

Procédure de configuration :

• les commutateurs doivent avoir le même firmware, la même licence et une conf manufactory
• brancher tous les câbles de stack lorsque tous les sw sont encore éteints
• allumer les switchs un par un, en vérifiant le bon fonctionnement de chacun avant d'allumer le suivant
• les IDs sont attribués dans l'ordre d'allumage (premier allumé = ID 1, etc)
• se logguer en CLI et vérifier le stack avec un “show switch”

Pour changer le master d'un stack :

set switch movemanagement

Pour changer la numérotation des sw dans le stack :

set switch member

Vérifier les erreurs sur les ports de stack :

show switch stack-ports <slot>

Recopier le firmware de la stack sur un nouveau membre nouvellement ajouté (normalement cela se fait tout seul). NB : à la condition qu'ils soient du même côté de la “6.42/6.61 line”, sinon ils ne communiquent pas.

set switch copy-fw destination-system <Unit-NUMBER>
reset <Unit-NUMBER>

Faire une bascule (changer de master) (provoque une coupure de 30-40 secondes)

set switch movemanagement [from-unit] [to-unit]

Pour passer des commandes quand le switch est en mode routeur, par exemple pour voir la table ARP :

C5(su)->router
C5(su)->router>enable
C5(su)->router#show ip arp

OIDs utiles :

DISMAN-EVENT-MIB::sysUpTimeInstance		.1.3.6.1.2.1.1.3.0		uptime
# trouver le port d'une adresse MAC : après l'avoir convertie en décimal :
# ex 00:26:b9:d2:a6:e1 => 0.38.185.210.166.225
.1.3.6.1.2.1.17.4.3.1.2.0.38.185.210.166.225

La différence entre portadmin et portenable (ce dernier n'étant disponible que sur les châssis Matrix apparemment) :

• set spantree portadmin <port> désactive le STP sur ce port
• set spantree portedge <port> désactive le forwarding (la commutation) de paquets sur ce port, mais ce dernier restera à l'état UP (à la différence d'un set port disable)

→ C'est utile dans le cadre d'un agrégat, pour éviter qu'un port ne cause “en dehors” de ce lag.

source : Difference-between-EOS-Spanning-Tree-portadmin-and-portenable-commands

• EOS-Basic-Switch-Layer-2-Configuration-Best-Practices (sur gtacknowledge)