This is an old revision of the document!
Table of Contents
Remarques générales
La marque Enterasys a été rachetée par Extreme Networks il y a quelques temps déjà, mais certaines gammes d'équipements continuent encore d'être vendue.
Administration
Accessibles en telnet par défaut, on peut activer l'accès HTTP, HTTPS ou SSH.
Pour configurer l'IP d'admin, le masque réseau et la passerelle du commutateur :
set ip address 10.1.11.22 mask 255.255.255.0 gateway 10.1.11.254
Par défaut le VLAN de management (celui sur lequel sera positionnée l'IP d'admin) est le 1. Pour changer son tag (1 → 66 par exemple) :
set host vlan 66
Prompt
Il est de la forme : HOSTNAME(DROITS)→
, avec “DROITS” parmi “su”, “rw” ou “ro” (SuperUser, ReadWrite ou ReadOnly), et “HOSTNAME” est le nom du switch défini avec la commande :
set prompt HOSTNAME
On peut filtrer le résultat d'une commande (noter l’absence d'espace avant le mot-clé “find”) :
show config |find toto
Pour configurer une bannière (login est la bannière de pré-login, motd celle de post-login)
set banner [ motd | login ] "message" show banner [ motd | login ]
Pour forcer la taille du terminal (hauteur et largeur) :
set length | width <nb de caractères> # en définissant une hauteur infinie on désactive les "more" set length 0
Comptes utilisateurs
Par défaut, 3 comptes sont préconfigurés à la sortie d'usine, chacun avec un mot de passe vide :
- admin
- rw
- ro
Si les logins sont parlant quant à leur droits d'accès, il faut savoir que “rw” et “ro” n'apparaissent pas dans une show conf
. Par sécurité il est conseiller de supprimer ou désactiver ces derniers ainsi que de changer le mot de passe admin.
# supprimer les comptes clear system login rw clear system login ro # ou juste les désactiver set system login rw read-write disable set system login ro read-only disable # changer le mdp du compte admin set password admin
Pour lister les comptes utilisateurs ainsi que la politique de mots de passe :
show system login Password history size: 0 Password aging : disabled Username Access State admin super-user enabled ro read-Only enabled rw read-write enabled
Pour lister les utilisateurs connectés
show users
Sécurité du login
Pour bloquer un login pendant 10 minutes si l'utilisateur saisit 5 mauvais mots de passe d'affiler :
set system lockout attempts 5 time 10 show system lockout
A utiliser avec parcimonie puisque une personne malveillante peut bloquer le prompt admin…
Configurer le temps d'inactivité, en minutes, avant déconnexion (idle timeout) :
set logout 160
CDP/LLDP
Le CDP ou LLDP est un protocole de découverte des voisins ; il est donc recommandé, par sécurité, de ne l'activer que sur les interconnexions entre nos équipements.
show cdp
show lldp
# afficher les voisins détectés en CDP/LLDP sur le même segment ethernet
show neighbors
Logging
Pour afficher les logs
show logging buffer # activer les logs sur la console et dans un fichier (current.log) set logging local console enable file enable
Pour logguer de façon plus fine certaines fonctions (par ex le STP)
show logging application set logging application STP level 8
Configurer l'export des logs vers un serveur syslog externe :
set logging server 1 ip-addr 10.68.77.12 severity 7 descr 'serveur_rsyslog' state enable show logging server
Pour logguer les UP/DOWN des ports
set linkflap portstate enable
Système
# permet d'afficher l'uptime du switch et l'état du système # (aimentations, ventilateurs, températures) show system # pour surveiller la charge CPU du switch et l'utilisation de la mémoire (vive et morte) show system utilization show system utilization cpu show system utilization process [slot x] # afficher le modèle, SN, adresse MAC, le firmware show system hardware # afficher la version du firmware et le SN show version # affiche sur quelle image va démarrer le switch au prochain reboot show boot system # lister les images et les fichiers de configuration présents sur la mémoire flash dir # afficher les connexion ouvertes show netstat
Configurer l'heure
set time 7:50:00 set summertime enable
Cependant il vaut mieux configurer le protocole NTP/SNTP :
set sntp client unicast set sntp server 10.1.11.24 precedence 2 set sntp server 10.1.11.108
Gestion Configuration
Pour afficher la configuration :
show config # afficher également les lignes avec des valeurs par défaut show config all # pour filtrer le résultat sur un mot-clé : show config |find toto # sauvegarder le résultat dans le fichier (current.cfg) show config outfile configs/current.cfg
Faire un factory reset (supprimer la configuration) :
clear config # supprimer aussi le stack unit ID, sa priorité et l'IP de mgmt (mais pas la licence) clear config all
Exporter la configuration vers TFTP
# 1) enregistrer la conf localement dans un fichier show config outfile configs/20150721_switch.conf # 2) envoyer ce fichier vers un serveur TFTP copy configs/20150721_switch.conf tftp://10.1.2.211/20150721_switch.conf
NB : sur les modèles “stackables” (1U) les fichiers sont enregistrés sur l'espace de stockage configs/
; pour les chassis (Matrix E ou S) il faut préciser le module (slot1/
par exemple) :
show config outfile slot1/20150721_chassi.conf
Restaurer la configuration depuis TFTP
On réalise la procédure inverse, puis on injecte le fichier obtenu avec la commande configure
(attention l'équipement redémarrera) :
# 1) récupération de la sauvegarde sur le serveur TFTP copy tftp://10.1.2.211/20150721_switch.conf configs/20150721_switch.conf # 2) application de celle-ci configure configs/20150721_switch.conf [ append ]
Debug/tech-support
Gestion ports/VLANs
Ports
# afficher le status d'un port (alias, activation, speed, duplex) show port status [ tg.6.1 ] # affiche la portion de configuration correspondant aux ports ("#port") show config port # activer/désactiver un port set port enable ge.1.1 set port disable ge.1.1 # attribuer une description sur un port set port alias ge.1.12 uplink_vers_central # afficher la capacité du port et celle annoncé par la port d'en face (si autoneg) show port advertise ge.1.12 ge.1.12 capability advertised remote ------------------------------------------------- 10BASE-T yes yes no 10BASE-TFD yes yes yes 100BASE-TX yes yes no 100BASE-TXFD yes yes yes 1000BASE-T no no no 1000BASE-TFD yes yes yes pause yes yes yes # configurer le speed/duplex/négociation (exemple pour forcer un port en 100/FD) set port speed ge.2.1 100 set port duplex ge.2.1 full set port negotiation ge.2.1 disable
Pour supprimer la configuration d'un port (par exemple pour supprimer l'alias) :
clear port alias ge.1.9
Exception faite pour les paramètres de négociation, speed et duplex, qui se réinitialisent ainsi :
set port negotiation ge.1.1 enable set port speed ge.1.1 10 set port duplex ge.1.1 half
Pour filtrer les broacast (ici on limite à 2000 pkts/s) :
set port broadcast 2000
Dropper les paquets taggués sur un port (edge typiquement)
set port discard ge.1.10 tagged
MAC-security
La fonctionnalité mac-security permet de limiter et bloquer le nombre et la valeur d'@mac sur un port
set maclock enable ge.2.72 # nb max d'@ mac sur le port (1) set maclock static ge.2.72 1 # n'autoriser que cette @ mac set maclock 00-11-88-00-11-22 ge.2.72
Shaping
Basic traffic shaping :
show port ratelimit <portstring> set port ratelimit enable set port ratelimit <portstring> clear port ratelimit <portstring>
RMON et compteurs
show rmon stats ge.2.65 show port counters ge.2.65 [switch]
Reset des compteurs (NB : impossible avec les Matrix N7, par contre on peut utiliser les compteurs rmon)
clear port counter ge.2.72
Agrégats
La notation des agrégats, interfaces logiques regroupant plusieurs interfaces physiques pour améliorer le débit et la redondance, chez Enterasys, est de la forme : lag.0.x
.
Enterasys implémente la détection automatique des agrégats et ne nécessite pas de configuration particulière si celle par défaut convient. Cependant il vaut mieux configurer l'agrégat afin de s'assurer qu'il est correctement détecté et qu'il utilise un numéro de port invariant.
Procédure pour forcer 2 ports ge.1.24
et ge.1.25
à rejoindre le lag.0.4
:
set lacp enable # pour permettre au lag de rester UP même s'il ne possède qu'une interface physique UP set lacp singleport enable set lacp aadminkey lag.0.1 1 set port lacp port ge.1.24-25 aadminkey 1 set port lacp port ge.1.24-25 enable
Vérifications/diagnostique :
show lacp show port lacp port ge.1.24 status detail show port lacp port ge.1.25 status detail show port lacp port ge.1.24 status summary
VLANs
Créer un VLAN (17 par exemple)
set vlan create 17 set vlan name 17 "SomeName"
# afficher les VLANs actifs (dont les ports sont UP) show vlans # afficher tous les VLANs configurés (avec leurs ports, UP ou non) show vlans static # affiche/configurer le vlan natif d'un port show port vlan set port vlan ge.1.1 66 [ modify-egress ] # modify-egress permet de supprimer automatiquement tous les autres VLANs untagged du port # trunker le vlan (300) sur un port (ge.5.1) en taggué set vlan egress 300 ge.5.1 tagged # supprimer les VLANs 2,5,9 du port ge.1.1 clear vlan egress 2,5,9 ge.1.1 # afficher les VLANs configurés (tag/untagged) sur un port show port egress ge.1.12 # afficher les VLANs configurés par port (tag/untag) show vlan portinfo [ port <PORT> ]
Adresses MAC
# afficher la table d'adresses MAC par VLAN (colonne FID) et par port show mac # afficher l'adresse MAC vue sur le port ge.1.1 show mac port ge.1.1 # rechercher sur quel port est vue une adresse MAC show mac address 00-11-88-4A-28-BF
MTU/jumbo frame
La MTU des ports est configurable jusqu'à 9216 octets
show port jumbo ge.1.5 # si ce n'est pas déjà fait, activer les jumbo frames puis saisir une valeur set port jumbo enable ge.1.5 set port jumbo ge.1.5 9216