User Tools

Site Tools


informatique:enterasys

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
informatique:enterasys [2018/06/22 08:18] – [Debug/tech-support] pteuinformatique:enterasys [2022/12/07 15:25] (current) – [MAC-security] pteu
Line 1: Line 1:
 ======Remarques générales====== ======Remarques générales======
  
-La marque Enterasys a été rachetée par Extreme Networks il y a quelques temps déjà, mais certaines gammes d'équipements continuent encore d'être vendue.+La marque Enterasys a été rachetée par Extreme Networks il y a quelques temps déjà, mais certaines gammes d'équipements sont encore vendues.
  
  
Line 43: Line 43:
 # en définissant une hauteur infinie on désactive les "more" # en définissant une hauteur infinie on désactive les "more"
 set length 0 set length 0
 +</code>
 +
 +Pour lancer une commande (la prochaine qui sera saisie) plusieurs fois d'affilée :
 +<code bash>
 +# lancer 3x la commande "show port counter ge.1.1" à 1 seconde d'intervalle
 +loop 3 1
 +show port counter ge.1.1
 </code> </code>
  
Line 78: Line 85:
 <code bash> <code bash>
 show users show users
 + Session    User    Location
 + --------- -------  -------------------
 + SSH        admin   10.1.1.24
 + SSH        toto    10.27.132.11
 + telnet     titi    10.27.194.34
 +</code>
 +
 +Pour déconnecter une session ouverte, ou ghost sans attendre son timeout :
 +<code bash>
 +disconnect <IP>
 </code> </code>
  
Line 98: Line 115:
 <code bash> <code bash>
 set webview enable/disable set webview enable/disable
 +
 +# pour activer le HTTPS
 +set ssl enable/disable
 </code> </code>
 +
 =====Sécurité du login===== =====Sécurité du login=====
  
Line 113: Line 134:
 set logout 160 set logout 160
 </code> </code>
 +
 +=====Sécurité des mots de passe=====
 +
 +On peut définir une politique de sécurité des mots de passe afin qu'ils ne soient pas trop faibles et changés régulièrement :
 +<code bash>
 +# définir une longueur de mot de passe à 14 caractères minimum
 +# et imposer qu'ils contiennent au moins un caractère minuscule, majuscule, spécial et un chiffre
 +set system password length 14
 +set system password min-required-chars lowercase 1 uppercase 1 numeric 1 special 1
 +
 +# enregistrer les (0-10) précédents mots de passe
 +set system password history 3
 +
 +# pour interdir la réutilisation d'une sous-chaine déjà présente dans un ancien mot de passe
 +# et interdire la répétition de plus de 3 fois le même caractère
 +set system password substring-match-len 10 allow-repeating-chars 3 
 +
 +# forcer le changement des mots de passe tous les ans
 +set system password aging 365
 +</code>
 +
 +Vérification :
 +<code bash>
 +show system password
 +</code>
 +
  
 =====CDP/LLDP===== =====CDP/LLDP=====
Line 123: Line 170:
 # afficher les voisins détectés en CDP/LLDP sur le même segment ethernet # afficher les voisins détectés en CDP/LLDP sur le même segment ethernet
 show neighbors show neighbors
 +
 +# activer le LLDP sur le port tg.1.1 seulement en réception
 +set lldp port status rx-enable tg.1.1
 </code> </code>
  
 +Désactiver le CDP/LLDP :
 +<code bash>
 +set cdp state disable
 +set cdp state disable *.*.*
 +
 +set lldp port status disabled *.*.*
 +</code>
 =====Logging===== =====Logging=====
  
Line 133: Line 190:
 # activer les logs sur la console et dans un fichier (current.log) # activer les logs sur la console et dans un fichier (current.log)
 set logging local console enable file enable set logging local console enable file enable
 +</code>
 +
 +Voir les paramètres de logging par défaut :
 +<code bash>
 +show logging defaults
 </code> </code>
  
Line 147: Line 209:
 </code> </code>
  
-Pour logguer les UP/DOWN des ports +Rappel : 
-<code bash> +  * la **severity** est une échelle de 1 à 8 indiquant le niveau de debug (du moins au plus verbeux) : 1 (emergencies), 2 (alerts), 3 (critical), 4 (errors), 5 (warnings), 6 (notifications), 7 (information), 8 (debugging). 
-set linkflap portstate enable +  * la **facility** sert à identifier les logs sur le serveur syslog ; 8 possibilités, entre //local0// à //local7//.
-</code>+
  
 Pour envoyer les logs locaux vers un serveur TFTP : Pour envoyer les logs locaux vers un serveur TFTP :
Line 156: Line 217:
 copy logs/current.log tftp://10.0.0.1/switch.log copy logs/current.log tftp://10.0.0.1/switch.log
 </code> </code>
 +
 +====current.log====
 +
 +Le **current.log** contient les logs détaillés du système ; il n'est consultable qu'en l'exportant via TFTP ou via la commande ''show support''.
 +Dans le cas d'un stack il retourne séquentiellement les logs de chaque membre.
 +<code bash>
 +<134> JAN 19 05:25:17 STK1 BOOT[268434944]: sysapi.c(1295) 1 %%
 + Configuration file on disk size 1086200 is less than expected size 1319967. 
 +</code>
 +Dans cet exemple, le ''1%%'' indique le pourmillage d'utilisation de la capacité de stockage (donc entre 0 et 1000).
 +
 ====Logguer les commandes==== ====Logguer les commandes====
  
Line 166: Line 238:
 =====Password recovery===== =====Password recovery=====
  
-Sur un B2, B3, C3 et d'autres modèles : il y a un petit trou à l'arrière du châssis, juste à droite du port stack. Il faut utiliser une aiguille pour l'atteindre, et l'enfoncer 5 secondes. "Password Reset button has been pressed" apparaît en console et dans les logs.+Sur les séries B et : il y a un petit trou à l'arrière du châssis, juste à droite du port stack. Il faut utiliser une pointe de stylo pour l'atteindre, l'enfoncer 5 secondes et relâcher. "Password Reset button has been pressed" apparaît en console et dans les logs.
  
 Il n'y a pas d'interruption de service, on peut ensuite se connecter directement en admin sans mot de passe. Il n'y a pas d'interruption de service, on peut ensuite se connecter directement en admin sans mot de passe.
Line 411: Line 483:
 ====MAC-security==== ====MAC-security====
  
-La fonctionnalité mac-security permet de limiter et bloquer le nombre et la valeur d'@mac sur un port+La fonctionnalité maclock permet de limiter et bloquer le nombre et la valeur d'@MAC sur un port. Il s'agit d'un mécanisme de contrôle d'accès à n'activer que sur les ports utilisateurs/edge, et surtout pas sur les ports ISL (inter-switchs) sous peine de bloquer le réseau. 
 + 
 +Exemple de mise en place sur tous les ports utilisateur d'un commutateur, avec 1 MAC par port maximum :
 <code bash> <code bash>
-set maclock enable ge.2.72+set maclock enable ge.1.1-23
 # nb max d'@ mac sur le port (1) # nb max d'@ mac sur le port (1)
-set maclock static ge.2.72 +set maclock static ge.1.1-23 1 
-n'autoriser que cette @ mac +set maclock firstarrival ge.1.1-23 
-set maclock 00-11-88-00-11-22 ge.2.72+activer la fonctionnalité 
 +set maclock enable 
 +
 +# configuration de l'action en cas de dépassement des seuils configurés 
 +set maclock syslog ge.1.1-23 enable violation 
 +# vérifications 
 +show maclock 
 +show maclock stations 
 +# recopie des MAC apprises en firstarrival vers static 
 +set maclock move ge.1.1-23
 </code> </code>
  
 +Vérifications :
 +<code bash>
 +show maclock
 +show maclock stations
 +</code>
 +
 +Modifications manuelle d'une MAC :
 +<code bash>
 +// ajouter une MAC staique à la main
 +set maclock 00-11-88-4A-28-BF ge.2.72 create
 +</code>
 ====Shaping==== ====Shaping====
  
Line 455: Line 549:
 clear port counter ge.2.72 clear port counter ge.2.72
 </code> </code>
 +
 +===Terminologie des compteurs===
 +
 +  * **In Discards** : Packets received by the device interface that were discarded even though no errors prevented them from being delivered to a higher layer protocol (e.g., to free up buffer space in the device).
 +  * **In Errors** : Packets received by the device interface that contained errors that prevented them from being delivered to a higher-layer protocol.
 +  * **In Unknown** : Packets received by the device interface that were discarded because of an unknown or unsupported protocol.
 +  * **Overruns** : inbound - lack of interface buffer
 +  * **Out Discards** : outbound - lack of interface buffer (= buffer drop = quand le débit à émettre > débit de l'interface = congestion)
 +  * **Jabber** : trame > 1518 et ont une mauvaise FCS ou CRC ; peut être lié a un pb électrique sur une NIC
 +    * **CRC** (Cyclic Redundancy Check) : pour détecter les erreurs de transmission/réception: algo de détection d'erreur
 +    * **FCS** (Frame check sequence) : détection d'erreur sur une trame, spécifique au réseau L2.
 +    * **Alignment** : le paquet ne contient pas un nb de bit multiple de 8 OU contient une //FCS error//
 +NB : en 802.3 les erreurs devraient être < 10^-8,  i.e. 1 in 82 x 10^6
 +  * **Undersize** ou **Runt** : trame < 64 octets
 +  * **Long** : taille trame entre 1518 et 6000 octets
 +  * **Oversize**, **Jumbo** ou **Giant** : trame > 6000 octets
 +  * **Dribble** : trame  > 1518 mais qui peut être traité quand même
 +
 +  * **Congestion** : port egress congestion statistics (dropped packets)
 +  * **Jam** : utiliser pour prévenir qu'il y a collision. Peut être utiliser en cas de congestion pour "back pressure" la station qui surcharge le switch
  
 ====Agrégats==== ====Agrégats====
Line 465: Line 579:
 <code bash> <code bash>
 set lacp enable set lacp enable
-# pour permettre au lag de rester UP même s'il ne possède qu'une interface physique UP 
-set lacp singleport enable 
- 
 set lacp aadminkey lag.0.1 1 set lacp aadminkey lag.0.1 1
 set port lacp port ge.1.24-25 aadminkey 1 set port lacp port ge.1.24-25 aadminkey 1
 set port lacp port ge.1.24-25 enable set port lacp port ge.1.24-25 enable
 +</code>
 +
 +Pour activer l'auto-neg d'un lag entre switchs Enterasys, dès le premier port :
 +<code bash>
 +set lacp singleport enable
 </code> </code>
  
Line 489: Line 605:
 # exemple avec les ports tg.2.1 et tg.3.1 sur un premier switch # exemple avec les ports tg.2.1 et tg.3.1 sur un premier switch
 set port lacp port tg.2.1,tg.3.1 aadminstate lacptimeout​ set port lacp port tg.2.1,tg.3.1 aadminstate lacptimeout​
 +</code>
 +
 +====Linkflap====
 +
 +Le flapping est le fait de changer d'état //plus souvent// que la normale ; les switchs Enterasys disposent d'un ensemble de commandes permettant de surveiller les transitions UP/DOWN des ports (linkflap). Parce que cela perturbe le switch, on peut définir des règle pour bloquer les ports qui tombent trop souvent.
 +
 +<code bash>
 +# afficher la configuration actuelle (des ports compatibles avec la fonctionnalité)
 +show linkflap parameters
 +</code>
 +
 +Mise en place d'une surveillance :
 +<code bash>
 +# activer la fonction globalement
 +set linkflap globalstate enable
 +
 +# définir l'intervalle de temps (en secondes) de comptage des links DOWN
 +set linkflap interval ge.*.* 10
 +# défini le seuil de link DOWN autorisés par intervalle de comptage
 +set linkflap threshold ge.*.* 20
 +
 +# définir l'action en cas de non-respect de la règle (ici, juste logguer le port)
 +set linkflap action ge.*.* gensyslogentry
 +
 +# afficher les compteurs de flaps
 +show linkflap metrics
 +</code>
 +
 +<code bash>
 +# logguer les UP/DOWN des ports
 +set linkflap portstate enable
 </code> </code>
  
Line 583: Line 730:
 show spantree version show spantree version
 show spantree stats show spantree stats
-# afficher les ports actifs en plus+ 
 +# afficher les ports actifs en plus (commandes équivalentes)
 show spantree stats active show spantree stats active
 +show spantree stats port *.*.* active
 +</code>
 +
 +=====Edge ports====
 +
 +Un port edge est un port "utilisateur" (~ équivalent de portfast chez Cisco), sur lequel se connecte un équipement qui n'est pas un switch et avec lequel le switch n'aura pas à dialoguer en STP. Il n'est pas protégé contre les boucles mais a l'avantage de "monter" (passer UP et FORWARDING) plus rapidement. Les ports edge ne devraient donc jamais envoyer de BPDU.
 +
 +<code bash>
 +# Définir un port comme edge
 +set spantree adminedge ge.1.1 true
 +# ça n'est nécessaire dans l'absolu car la fonction autoedge est activée par défaut
 +show spantree autoedge
 + Auto Edge is set to enable
 +# vérif
 +show spantree adminedge port ge.1.1
 +Port ge.1.1    has a port Admin Edge of Edge-Port
 +</code>
 +
 +
 +=====Spanguard=====
 +
 +Fonctionnalité qui protège contre les "TC" (topology change) intempestifs, le **spanguard** permet de désactiver un port (il passe en "blocking") sur lequel le commutateur reçoit un BPDU. Le port sera réactivé automatiquement à la fin du timeout défini, ou réactivé manuellement.
 +
 +Cela permet de traquer les commutateurs sauvages (installés en douce par des utilisateurs) ou des bridges "mal" configurés sur des PCs (par exemple libvirt pour des machines virtuelles ou docker) : qui n'ont pas désactivé le STP.
 +
 +Il ne faut pas l'activer tant que l'on n'a pas défini nos ISL (liens inter-switchs), sinon cela coupera nos intercos et créera un gros incident des familles.
 +
 +<code bash>
 +show spantree spanguard
 + Spanguard is disabled
 +
 +# Pour fonctionner correctement, il faut préalablement configurer tous les ports utilisateur en edge forcé
 +set spantree adminedge ge.1.1-47 true
 +# mais surtout pas nos ISLs (Inter-Switchs links = les interconnexions avec nos autres commutateurs)
 +clear spantree adminedge ge.1.48        # au cas ou !...
 +
 +# Options éventuelles
 +set spantree spanguardtimeout 60
  
-bloquer les port edge qui envoient des BPDU +Enfin, activer le spanguard
-# (attention aux PC qui ont un bridge br0 (ex : libvirt))+
 set spantree spanguard enabled set spantree spanguard enabled
 </code> </code>
  
-Debug (uniquement sur les châssis Matrix) :+=====Debug===== 
 +(uniquement sur les châssis Matrix) :
 <code bash> <code bash>
 show spantree debug show spantree debug
Line 604: Line 790:
 # activer/désactiver le STP : dépend du modèle : sur A/B/C/D/G/I-Series : # activer/désactiver le STP : dépend du modèle : sur A/B/C/D/G/I-Series :
 set spantree enable / disable set spantree enable / disable
 +
 # sur K/N/S/7100-Series : # sur K/N/S/7100-Series :
 set spantree stpmode ieee8021 / none set spantree stpmode ieee8021 / none
 +# sur les séries BCD:
 +set spantree version { mstp / rstp / stpcompatible }
 </code> </code>
  
Line 615: Line 804:
  
  
-======Access-list======+======Access-lists======
  
 +====="Router-mode" ACLs=====
 +
 +Les **router ACLs** permettent de filtrer du trafic forwardé (pas à destination de l'équipement lui-même) ; elles sont numérotées de 1 à 199 et limitées à 80 lignes ; elles peuvent être de type **standard** (numérotées de 1 à 99) ou **étendues** (numérotées de 100 à 199).
 +
 +  * les ACLs standard permettent de filtrer en input et uniquement l'adresse IP source
 +  * les ACLs utilisent des wildcard (des masques réseau inversés : masque=255.255.0.0 -> wildcard=0.0.255.255)
 +  * par défaut elles se terminent toutes par un ''deny any any'' implicite.
 +  * les ACLs et les policys utilisent le même composant matériel ; de ce fait on ne peut utiliser les unes sans désactiver les autres.
 +  * pour créer des access-lists de type **IPv6** ou **MAC**, il faut activer le **mode IPv6** : ''access-list ipv6mode''
 +
 +Pour créer une ACL, créer juste une première règle : ''access-list 67 deny host 192.168.67.1'' ; pour supprimer une ACL : ''no access-list 67''.
 +
 +===Opérations sur les ACLs===
 +
 +Par défaut si aucune action n'est précisée, la ligne saisie sera ajoutée à la fin de l'ACL.
 +
 +<code bash>
 +# ajouter une ligne à l'ACL 67
 +access-list 67 deny any
 +
 +# supprimer une ou un groupe de lignes
 +#    ex : supprimer la première ligne
 +no access-list 67 1
 +#    supprimer les lignes de 1 à 5
 +no access-list 67 1 5
 +
 +# Insérer une ligne en première position :
 +access-list 67 insert 1 permit 192.168.67.2
 +
 +# remplacer la première ligne
 +access-list 67 replace 1 permit 192.168.67.1 0.0.0.1
 +
 +# Déplacer des lignes ;
 +# par ex : insérer, devant la ligne n°1, les lignes comprises entre la 2nde et la 5ème ligne
 +access-list 67 move 1 2 5
 +</code>
 +
 +Une fois l'access-list rédigée, on l'applique sur une interface VLAN (''ip access-group'', en **mode routeur**) ou un port physique (''access-list interface'') :
 +<code bash>
 +# activation sur une interface VLAN en "inbound"
 +# NB : l'application en "outbound" n'est pas disponible sur toutes les gammes de switch
 +interface vlan 67
 + ip access-group 1 in
 +
 +# activation sur les ports physiques ge.1.1 à ge.1.12
 +access-list interface 67 ge.1.1-12
 +</code>
 +
 +On peut préciser les paramètre ''sequence'' suivi du numéro de séquence, si on veut ordonner l'application de plusieurs ACLs sur une même cible.
 +
 +
 +====ACLs étendues====
 +
 +Tout fonctionne comme les ACLs standard, mais la syntaxe des règles est plus fine pour un filtrage plus précis : on peut filtrer par protocole (ip proto), ports et couple IP source/destination.
 +<code bash>
 +# Syntaxe :
 +access-list access-list-number {deny | permit} protocol source [source-wildcard] [eq port] \
 +   destination [destination-wildcard] [eq port][precedence precedence | tos <tos tosmask> \
 +   | dscp dscp ] [assign-queue queue-id]
 +
 +# ex : permettre au réseau 10.0.0.0/24 de faire du SSH (tcp/22) vers n'importe qui (any) :
 +access-list 101 permit tcp 10.0.0.0 0.0.0.255 any eq 22
 +</code>
 +
 +Avec :
 +  * protocol parmi ''ip, tcp, udp, icmp, igmp''
 +  * port le port entre 0 et 65535 (si UDP ou TCP)
 +  * precedence la valeur du champ ip-precedence (entre 0 et 7)
 +  * ToS : la valeur du ToS, entre ''0x00'' et ''0xff''
 +  * dscp entre 0 et 63 ou égal à : ''af11, af12, af13, af21, af22, af23, af31, af32, af33, af41, af42, af43, af44'' ; ''be/cs0'' ; entre ''cs1'' et ''cs7'' ; ou ''ef''
 +
 +====MAC-based ACLs====
 +
 +Ces ACLs filtrent au niveau des adresses MAC (Ethernet), uniquement en **mode router** et après activation du mode ipv6 (''access-list ipv6mode'').
 +<code bash>
 +access-list mac <NOM_ACL> {deny | permit} {srcmac | any} {destmac | any} \
 +   [ethertype <ethertype>] [vlan <vlan-id>] [priority <pri>] [assign-queue <queue-id>]
 +</code>
 +avec :
 +  * NOM_ACL le nom de l'ACL
 +  * Ethertype d'une valeur comprise entre 0x0600 et 0xFFFF, ou valant un mot-clé parmi : ''appletalk, arp, ibmsna, ipv4, ipv6, ipx, mplsmcast, mplsucast, netbior, novell, pppoe, rarp''
 +
 +====IPv6 ACL====
 +
 +Comme les //MAC-based ACLs// il faut activer le mode ipv6mode pour utiliser.
 +
 +Syntaxe :
 +<code bash>
 +access-list ipv6 name {deny | permit} protocol {srcipv6-addr/prefix-length | any} [eq port] \
 +   {dstipv6-addr/prefix-length | any} [eq port] [dscp dscp] [flow-label label-value] [assign-queue queue-id]
 +</code>
 +
 +
 +=====Service ACLs=====
 +
 +Les **service ACLs** permettent de filtrer les accès au switch.
 +
 +<code bash>
 +# Syntaxe :
 +set system service-acl name {permit | deny} [ip-source ip-address [wildcard wildcard-bits] \
 +   | ipv6-source ipv6-address [wildcard /prefix-length]] [port port-string | vlan vlan-id] \
 +   [service service] [priority priority-value]
 +   
 +# ex : ne permettre l'accès au switch que depuis les port ge.1.1 et ge.1.2
 +set system service-acl protect-sw permit port ge.1.1
 +set system service-acl protect-sw permit port ge.1.2
 +# ne permttre l'accès SSH du switch qu' l'IP 10.0.0.1 et depuis le port ge.1.12
 +set system service-acl protect-sw permit service ssh ip-source 10.0.0.1 \
 +   wildcard /32 port ge.1.12
 +
 +# application de l'ACL
 +set system service-class protect-sw
 +
 +# Vérification
 +show system service-class 
 +   system service-class is enabled, using access list protect-sw.
 +
 +# Désactivation de la protection
 +clear system service-class protect-sw
 +
 +# suppression de l'ACL
 +clear system service-acl protect-sw
 +</code>
 =====Filtrer les IPv6===== =====Filtrer les IPv6=====
  
Line 640: Line 952:
 Fonctionnement du stacking ([[https://community.extremenetworks.com/extreme/topics/securestack_stacking_overview-of7yg|source]]) :  Fonctionnement du stacking ([[https://community.extremenetworks.com/extreme/topics/securestack_stacking_overview-of7yg|source]]) : 
   * un switch master, les autres "members" ; avec un backup en cas de panne du master   * un switch master, les autres "members" ; avec un backup en cas de panne du master
-  * seul le port console du master est actif +  * seul le port console du master est actif (c'est le seul a avoir la diode "MGR" allumée) 
-  * critère s d'élection du master:+  * les critères d'élection du master:
 <code> <code>
     Previously assigned / elected management unit     Previously assigned / elected management unit
Line 650: Line 962:
  
 Procédure de configuration : Procédure de configuration :
-  * les commutateurs doivent avoir le même firmware, la même licence et une conf manufactory +  * les commutateurs doivent avoir le même firmware, la même licence et une conf "factory" 
-  * brancher tous les câbles de stack lorsque tous les sw sont encore éteints+  * brancher tous les câbles de stack lorsque tous les switchs sont encore éteints
   * allumer les switchs un par un, en vérifiant le bon fonctionnement de chacun avant d'allumer le suivant   * allumer les switchs un par un, en vérifiant le bon fonctionnement de chacun avant d'allumer le suivant
   * les IDs sont attribués dans l'ordre d'allumage (premier allumé = ID 1, etc)   * les IDs sont attribués dans l'ordre d'allumage (premier allumé = ID 1, etc)
-  * se logguer en CLI et vérifier le stack avec un "show switch"+  * se logguer en CLI (sur le master) et vérifier le stack avec un "show switch"
  
-Pour changer le master d'un stack :+Pour changer le switch master d'un stack :
 <code bash> <code bash>
 set switch movemanagement <from_unit> <to_unit> set switch movemanagement <from_unit> <to_unit>
 </code> </code>
  
-Pour changer le "switchindex" (SID), qui dépend du modèle de switch (normalement il est auto-détecté, mais on peut consulter la correspondance SID/produit avec ''show switch switchtype'') :+Pour changer le "switchindex" (SID), qui dépend du modèle de switch (normalement il est auto-détecté, et on peut consulter la correspondance SID/produit avec ''show switch switchtype'') :
 <code bash> <code bash>
 set switch member set switch member
Line 671: Line 983:
 </code> </code>
  
-Recopier le firmware de la stack sur un nouveau membre nouvellement ajouté (normalement cela se fait tout seul). NB : à la condition qu'ils soient du même côté de la "6.42/6.61 line", sinon [[https://gtacknowledge.extremenetworks.com/articles/Q_A/How-do-I-replace-a-faulty-unit-or-management-Switch|ils ne communiquent pas]].+Faire une bascule (changer de master) (provoque une coupure de 30-40 secondes) 
 +<code bash> 
 +set switch movemanagement [from-unit] [to-unit] 
 +</code> 
 + 
 +=====Remplacer un membre défectueux===== 
 + 
 +Pour remplacer un membre défectueux de la stack : 
 +  * éteindre le membre défectueux 
 +  * débrancher tous les câbles de celui-ci (alim, stack-port et brassage) 
 +  * déracker le switch et le remplacer par un de même modèle (NB : surveiller la version de firmware aussi : il doit avoir la même famille (6.42 ou 6.61) que la stack
 +  * racker et rebrancher tous les câbles sur le nouveau membre, l'alim en dernier 
 +  * au redémarrage il doit être reconnu et avoir le statut "OK" dans la commande ''show switch'' 
 + 
 +=====Ajouter un nouveau membre===== 
 + 
 +Pour ajouter un switch dans une stack déjà en place, on peut recopier le firmware de la stack sur le nouveau membre nouvellement ajouté (normalement cela se fait tout seul). Le seul prérequis que sa version soit du "même côtéde la "6.42/6.61 line", sinon [[https://gtacknowledge.extremenetworks.com/articles/Q_A/How-do-I-replace-a-faulty-unit-or-management-Switch|ils ne communiquent pas]].
 <code bash> <code bash>
 set switch copy-fw destination-system <Unit-NUMBER> set switch copy-fw destination-system <Unit-NUMBER>
Line 677: Line 1005:
 </code> </code>
  
-Faire une bascule (changer de master(provoque une coupure de 30-40 secondes)+=====Retirer un membre===== 
 + 
 +<WRAP center round important 60%> 
 +NB : bien vérifier qu'on est en mode loop (double connexion des switchs) car si les membres sont juste chainés, en retirer un membre risque de couper la stack en 2. 
 + 
 +NB2 : si le membre à retirer est le master de la pile, la réélection (manuelle ou automatique) provoquera une coupure temporaire 
 +</WRAP> 
 + 
 +Pour retirer définitivement un switch d'une pile : 
 +  * débrancher puis débrasser (ports RJ et ports stackle switch qui doit être retirer 
 +  * supprimer la configuration qui s'y rapporte :
 <code bash> <code bash>
-set switch movemanagement [from-unit] [to-unit]+clear switch member <MEMBER_NUMBER>
 </code> </code>
 +  * reconnecter le port stack entre les 2 membres adjacents à celui qui doit être retirer pour retrouver une topologie en loop
  
 +Pour éviter d'avoir un trou dans la numérotation des membres, il faut renuméroter proprement les switchs restant et la conf associée, cf l'article suivant : [[https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-permanently-remove-Securestack-switch-and-configuration-from-an-existing-stack|How to permanently remove SecureStack switch and configuration from an existing stack]]
  
 +=====Renuméroter un membre=====
 +
 +Lorsqu'on sort un switch d'une stack, il conserve ses numéros de port même après un ''clear conf'' : s'il était le membre n°3, ses ports se nomment encore ge.3.*. Pour le repasser en ge.1.* (ou pour renuméroter un membre dans un stack), passer la commande :
 +<code bash>
 +set switch <from-unit> renumber <to-unit>
 +
 +# dans notre exemple : passer de 3 à 1
 +set switch 3 renumber 1
 +</code>
 +NB : cela a pour effet de rebooter le switch.
 ======Routage====== ======Routage======
  
Line 707: Line 1057:
 </code> </code>
 ======Métrologie/SNMP====== ======Métrologie/SNMP======
 +
 +Créer un accès rapide à la communauté "supervSNMP" en read-only pour la métrologie :
 +<code bash>
 +set snmp community supervSNMP
 +set snmp group groupRO user supervSNMP security-model v2c
 +set snmp access groupRO security-model v2c exact read All write none notify All
 +</code>
  
 OIDs utiles : OIDs utiles :
-<code>+<code bash>
 DISMAN-EVENT-MIB::sysUpTimeInstance .1.3.6.1.2.1.1.3.0 uptime DISMAN-EVENT-MIB::sysUpTimeInstance .1.3.6.1.2.1.1.3.0 uptime
 +
 # trouver le port d'une adresse MAC : après l'avoir convertie en décimal : # trouver le port d'une adresse MAC : après l'avoir convertie en décimal :
 # ex 00:26:b9:d2:a6:e1 => 0.38.185.210.166.225 # ex 00:26:b9:d2:a6:e1 => 0.38.185.210.166.225
 .1.3.6.1.2.1.17.4.3.1.2.0.38.185.210.166.225 .1.3.6.1.2.1.17.4.3.1.2.0.38.185.210.166.225
  
 +SNMPv2-SMI::mib-2.47.1.1.1.1.11.x               .1.3.6.1.2.1.47.1.1.1.1.11.x    numéro de série (SN)
 +
 +# séries B-C-D
 +.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.2.1.1           CPU 5s
 +.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3.1.1           CPU 1min
 +.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.4.1.1           CPU 5min
 +
 +# Processus
 +.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.2               liste des noms de process
 +.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.3               %age CPU 5s par process
 +.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.4               %age CPU 1min par process
 +.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.5               %age CPU 5min par process
 +
 +# Matrix
 +.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3               liste % CPU (5s) par slot
 +
 +# Bornes WIFI
 +.1.3.6.1.4.1.5624.1.2.6.5.2.0                    nombre de clients connectés
 </code> </code>
  
Line 728: Line 1104:
  
 source : [[https://gtacknowledge.extremenetworks.com/articles/Q_A/Difference-between-EOS-Spanning-Tree-portadmin-and-portenable-commands|Difference-between-EOS-Spanning-Tree-portadmin-and-portenable-commands]] source : [[https://gtacknowledge.extremenetworks.com/articles/Q_A/Difference-between-EOS-Spanning-Tree-portadmin-and-portenable-commands|Difference-between-EOS-Spanning-Tree-portadmin-and-portenable-commands]]
 +
 +
 +=====Activer les policy sur D2=====
 +
 +Les policy ne sont pas utilisables par défaut sur les modèles D2. Pour cela, il faut activer la licence (aujourd'hui gratuite) et accepter les CLUFs pour pouvoir utiliser les commandes du type ''set policy xxx'' :
 +<code bash>
 +show license
 +D2Policy :   status Inactive
 +
 +set license D2Policy
 +</code>
 +
 +src: [[https://community.extremenetworks.com/communities/community-home/digestviewer/viewthread?MessageKey=cfd4cd29-796b-4848-a2df-5898f088e7ef&CommunityKey=b42c6c6a-cd20-4836-b64b-6ff387134e07&tab=digestviewer#bmcfd4cd29-796b-4848-a2df-5898f088e7ef|Activating the Policy Feature on the D-Series]]
 ======Ressources====== ======Ressources======
  
   * [[https://gtacknowledge.extremenetworks.com/articles/How_To/EOS-Basic-Switch-Layer-2-Configuration-Best-Practices|EOS-Basic-Switch-Layer-2-Configuration-Best-Practices]] (sur gtacknowledge)   * [[https://gtacknowledge.extremenetworks.com/articles/How_To/EOS-Basic-Switch-Layer-2-Configuration-Best-Practices|EOS-Basic-Switch-Layer-2-Configuration-Best-Practices]] (sur gtacknowledge)
  
informatique/enterasys.1529655508.txt.gz · Last modified: 2018/06/22 08:18 by pteu