La marque Enterasys a été rachetée par Extreme Networks il y a quelques temps déjà, mais certaines gammes d'équipements continuent encore d'être vendue.

Accessibles en telnet par défaut, on peut activer l'accès HTTP, HTTPS ou SSH.

Pour configurer l'IP d'admin, le masque réseau et la passerelle du commutateur :

set ip address 10.1.11.22 mask 255.255.255.0 gateway 10.1.11.254

Par défaut le VLAN de management (celui sur lequel sera positionnée l'IP d'admin) est le 1. Pour changer son tag (1 → 66 par exemple) :

set host vlan 66

Il est de la forme : HOSTNAME(DROITS)→, avec “DROITS” parmi “su”, “rw” ou “ro” (SuperUser, ReadWrite ou ReadOnly), et “HOSTNAME” est le nom du switch défini avec la commande :

set prompt HOSTNAME

On peut filtrer le résultat d'une commande (noter l’absence d'espace avant le mot-clé “find”) :

show config |find toto

Pour configurer une bannière (login est la bannière de pré-login, motd celle de post-login)

set banner [ motd | login ] "message" 
 
show banner [ motd | login ]

Pour forcer la taille du terminal (hauteur et largeur) :

set length | width <nb de caractères>
 
# en définissant une hauteur infinie on désactive les "more"
set length 0

Par défaut, 3 comptes sont préconfigurés à la sortie d'usine, chacun avec un mot de passe vide :

• admin
• rw
• ro

Si les logins sont parlant quant à leur droits d'accès, il faut savoir que “rw” et “ro” n'apparaissent pas dans une show conf. Par sécurité il est conseiller de supprimer ou désactiver ces derniers ainsi que de changer le mot de passe admin.

# supprimer les comptes
clear system login rw
clear system login ro
 
# ou juste les désactiver
set system login rw read-write disable
set system login ro read-only disable
 
# changer le mdp du compte admin
set password admin

Pour lister les comptes utilisateurs ainsi que la politique de mots de passe :

show system login
Password history size: 0
Password aging       : disabled 
 
Username     Access           State 
 
admin       super-user        enabled     
ro          read-Only         enabled     
rw          read-write        enabled

Pour lister les utilisateurs connectés

show users

Pour bloquer un login pendant 10 minutes si l'utilisateur saisit 5 mauvais mots de passe d'affiler :

set system lockout attempts 5 time 10
 
show system lockout

A utiliser avec parcimonie puisque une personne malveillante peut bloquer le prompt admin…

Configurer le temps d'inactivité, en minutes, avant déconnexion (idle timeout) :

set logout 160

Le CDP ou LLDP est un protocole de découverte des voisins ; il est donc recommandé, par sécurité, de ne l'activer que sur les interconnexions entre nos équipements.

show cdp
show lldp
 
# afficher les voisins détectés en CDP/LLDP sur le même segment ethernet
show neighbors

Pour afficher les logs

show logging buffer
 
# activer les logs sur la console et dans un fichier (current.log)
set logging local console enable file enable

Pour logguer de façon plus fine certaines fonctions (par ex le STP)

show logging application
set logging application STP level 8

Configurer l'export des logs vers un serveur syslog externe :

set logging server 1 ip-addr 10.68.77.12 severity 7 descr 'serveur_rsyslog' state enable
show logging server 

Pour logguer les UP/DOWN des ports

set linkflap portstate enable

# permet d'afficher l'uptime du switch et l'état du système
# (aimentations, ventilateurs, températures)
show system
 
# pour surveiller la charge CPU du switch et l'utilisation de la mémoire (vive et morte)
show system utilization
show system utilization cpu
show system utilization process [slot x]
 
# afficher le modèle, SN, adresse MAC, le firmware
show system hardware
 
# afficher la version du firmware et le SN
show version
 
# affiche sur quelle image va démarrer le switch au prochain reboot
show boot system
# lister les images et les fichiers de configuration présents sur la mémoire flash
dir
 
# afficher les connexion ouvertes
show netstat

set time 7:50:00
set summertime enable

Cependant il vaut mieux configurer le protocole NTP/SNTP :

set sntp client unicast
set sntp server 10.1.11.24 precedence 2
set sntp server 10.1.11.108

Pour afficher la configuration :

show config
 
# afficher également les lignes avec des valeurs par défaut
show config all
 
# pour filtrer le résultat sur un mot-clé :
show config |find toto
 
# sauvegarder le résultat dans le fichier (current.cfg)
show config outfile configs/current.cfg

Faire un factory reset (supprimer la configuration) :

clear config
 
# supprimer aussi le stack unit ID, sa priorité et l'IP de mgmt (mais pas la licence)
clear config all

# 1) enregistrer la conf localement dans un fichier
show config outfile configs/20150721_switch.conf
# 2) envoyer ce fichier vers un serveur TFTP
copy configs/20150721_switch.conf tftp://10.1.2.211/20150721_switch.conf

NB : sur les modèles “stackables” (1U) les fichiers sont enregistrés sur l'espace de stockage configs/ ; pour les chassis (Matrix E ou S) il faut préciser le module (slot1/ par exemple) :

show config outfile slot1/20150721_chassi.conf

On réalise la procédure inverse, puis on injecte le fichier obtenu avec la commande configure (attention l'équipement redémarrera) :

# 1) récupération de la sauvegarde sur le serveur TFTP
copy tftp://10.1.2.211/20150721_switch.conf configs/20150721_switch.conf
# 2) application de celle-ci
configure configs/20150721_switch.conf [ append ]

# afficher le status d'un port (alias, activation, speed, duplex)
show port status [ tg.6.1 ]
 
# affiche la portion de configuration correspondant aux ports ("#port")
show config port
 
# activer/désactiver un port
set port enable ge.1.1
set port disable ge.1.1
 
# attribuer une description sur un port
set port alias ge.1.12 uplink_vers_central
 
# afficher la capacité du port et celle annoncé par la port d'en face (si autoneg)
show port advertise ge.1.12
ge.1.12      capability    advertised     remote 
-------------------------------------------------
10BASE-T        yes          yes          no
10BASE-TFD      yes          yes          yes
100BASE-TX      yes          yes          no
100BASE-TXFD    yes          yes          yes
1000BASE-T      no           no           no
1000BASE-TFD    yes          yes          yes
pause           yes          yes          yes
 
# configurer le speed/duplex/négociation (exemple pour forcer un port en 100/FD)
set port speed ge.2.1 100
set port duplex ge.2.1 full
set port negotiation ge.2.1 disable

Pour supprimer la configuration d'un port (par exemple pour supprimer l'alias) :

clear port alias ge.1.9

Exception faite pour les paramètres de négociation, speed et duplex, qui se réinitialisent ainsi :

set port negotiation ge.1.1 enable
set port speed ge.1.1 10
set port duplex ge.1.1 half

Pour filtrer les broacast (ici on limite à 2000 pkts/s) :

set port broadcast 2000

Dropper les paquets taggués sur un port (edge typiquement)

set port discard ge.1.10 tagged

La fonctionnalité mac-security permet de limiter et bloquer le nombre et la valeur d'@mac sur un port

set maclock enable ge.2.72
# nb max d'@ mac sur le port (1)
set maclock static ge.2.72 1
# n'autoriser que cette @ mac
set maclock 00-11-88-00-11-22 ge.2.72

Basic traffic shaping :

show port ratelimit <portstring>
 
set port ratelimit enable
set port ratelimit <portstring>
clear port ratelimit <portstring>

show rmon stats ge.2.65
show port counters ge.2.65 [switch]

Reset des compteurs (NB : impossible avec les Matrix N7, par contre on peut utiliser les compteurs rmon)

clear port counter ge.2.72

La notation des agrégats, interfaces logiques regroupant plusieurs interfaces physiques pour améliorer le débit et la redondance, chez Enterasys, est de la forme : lag.0.x.

Enterasys implémente la détection automatique des agrégats et ne nécessite pas de configuration particulière si celle par défaut convient. Cependant il vaut mieux configurer l'agrégat afin de s'assurer qu'il est correctement détecté et qu'il utilise un numéro de port invariant.

Procédure pour forcer 2 ports ge.1.24 et ge.1.25 à rejoindre le lag.0.4 :

set lacp enable
# pour permettre au lag de rester UP même s'il ne possède qu'une interface physique UP
set lacp singleport enable
 
set lacp aadminkey lag.0.1 1
set port lacp port ge.1.24-25 aadminkey 1
set port lacp port ge.1.24-25 enable

Vérifications/diagnostique :

show lacp
show port lacp port ge.1.24 status detail
show port lacp port ge.1.25 status detail
show port lacp port ge.1.24 status summary

Créer un VLAN (17 par exemple)

set vlan create 17
set vlan name 17 "SomeName"

# afficher les VLANs actifs (dont les ports sont UP)
show vlans
 
# afficher tous les VLANs configurés (avec leurs ports, UP ou non)
show vlans static
 
# affiche/configurer le vlan natif d'un port
show port vlan
set port vlan ge.1.1 66 [ modify-egress ]
# modify-egress permet de supprimer automatiquement tous les autres VLANs untagged du port
 
# trunker le vlan (300) sur un port (ge.5.1) en taggué
set vlan egress 300 ge.5.1 tagged
 
# supprimer les VLANs 2,5,9 du port ge.1.1
clear vlan egress 2,5,9 ge.1.1
 
# afficher les VLANs configurés (tag/untagged) sur un port
show port egress ge.1.12
 
# afficher les VLANs configurés par port (tag/untag)
show vlan portinfo [ port <PORT> ]

# afficher la table d'adresses MAC par VLAN (colonne FID) et par port
show mac
 
# afficher l'adresse MAC vue sur le port ge.1.1
show mac port ge.1.1
 
# rechercher sur quel port est vue une adresse MAC
show mac address 00-11-88-4A-28-BF

La MTU des ports est configurable jusqu'à 9216 octets

show port jumbo ge.1.5
 
# si ce n'est pas déjà fait, activer les jumbo frames puis saisir une valeur
set port jumbo enable ge.1.5
set port jumbo ge.1.5 9216