User Tools

Site Tools


informatique:enterasys

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
informatique:enterasys [2018/10/03 13:12] – [Logging] severity & facility pteuinformatique:enterasys [2022/12/07 15:25] (current) – [MAC-security] pteu
Line 85: Line 85:
 <code bash> <code bash>
 show users show users
 + Session    User    Location
 + --------- -------  -------------------
 + SSH        admin   10.1.1.24
 + SSH        toto    10.27.132.11
 + telnet     titi    10.27.194.34
 +</code>
 +
 +Pour déconnecter une session ouverte, ou ghost sans attendre son timeout :
 +<code bash>
 +disconnect <IP>
 </code> </code>
  
Line 109: Line 119:
 set ssl enable/disable set ssl enable/disable
 </code> </code>
 +
 =====Sécurité du login===== =====Sécurité du login=====
  
Line 123: Line 134:
 set logout 160 set logout 160
 </code> </code>
 +
 +=====Sécurité des mots de passe=====
 +
 +On peut définir une politique de sécurité des mots de passe afin qu'ils ne soient pas trop faibles et changés régulièrement :
 +<code bash>
 +# définir une longueur de mot de passe à 14 caractères minimum
 +# et imposer qu'ils contiennent au moins un caractère minuscule, majuscule, spécial et un chiffre
 +set system password length 14
 +set system password min-required-chars lowercase 1 uppercase 1 numeric 1 special 1
 +
 +# enregistrer les (0-10) précédents mots de passe
 +set system password history 3
 +
 +# pour interdir la réutilisation d'une sous-chaine déjà présente dans un ancien mot de passe
 +# et interdire la répétition de plus de 3 fois le même caractère
 +set system password substring-match-len 10 allow-repeating-chars 3 
 +
 +# forcer le changement des mots de passe tous les ans
 +set system password aging 365
 +</code>
 +
 +Vérification :
 +<code bash>
 +show system password
 +</code>
 +
  
 =====CDP/LLDP===== =====CDP/LLDP=====
Line 138: Line 175:
 </code> </code>
  
 +Désactiver le CDP/LLDP :
 +<code bash>
 +set cdp state disable
 +set cdp state disable *.*.*
 +
 +set lldp port status disabled *.*.*
 +</code>
 =====Logging===== =====Logging=====
  
Line 194: Line 238:
 =====Password recovery===== =====Password recovery=====
  
-Sur un B2, B3, C3 et d'autres modèles : il y a un petit trou à l'arrière du châssis, juste à droite du port stack. Il faut utiliser une aiguille pour l'atteindre, et l'enfoncer 5 secondes. "Password Reset button has been pressed" apparaît en console et dans les logs.+Sur les séries B et : il y a un petit trou à l'arrière du châssis, juste à droite du port stack. Il faut utiliser une pointe de stylo pour l'atteindre, l'enfoncer 5 secondes et relâcher. "Password Reset button has been pressed" apparaît en console et dans les logs.
  
 Il n'y a pas d'interruption de service, on peut ensuite se connecter directement en admin sans mot de passe. Il n'y a pas d'interruption de service, on peut ensuite se connecter directement en admin sans mot de passe.
Line 439: Line 483:
 ====MAC-security==== ====MAC-security====
  
-La fonctionnalité mac-security permet de limiter et bloquer le nombre et la valeur d'@mac sur un port+La fonctionnalité maclock permet de limiter et bloquer le nombre et la valeur d'@MAC sur un port. Il s'agit d'un mécanisme de contrôle d'accès à n'activer que sur les ports utilisateurs/edge, et surtout pas sur les ports ISL (inter-switchs) sous peine de bloquer le réseau. 
 + 
 +Exemple de mise en place sur tous les ports utilisateur d'un commutateur, avec 1 MAC par port maximum :
 <code bash> <code bash>
-set maclock enable ge.2.72+set maclock enable ge.1.1-23
 # nb max d'@ mac sur le port (1) # nb max d'@ mac sur le port (1)
-set maclock static ge.2.72 +set maclock static ge.1.1-23 1 
-n'autoriser que cette @ mac +set maclock firstarrival ge.1.1-23 
-set maclock 00-11-88-00-11-22 ge.2.72+activer la fonctionnalité 
 +set maclock enable 
 +
 +# configuration de l'action en cas de dépassement des seuils configurés 
 +set maclock syslog ge.1.1-23 enable violation 
 +# vérifications 
 +show maclock 
 +show maclock stations 
 +# recopie des MAC apprises en firstarrival vers static 
 +set maclock move ge.1.1-23
 </code> </code>
  
 +Vérifications :
 +<code bash>
 +show maclock
 +show maclock stations
 +</code>
 +
 +Modifications manuelle d'une MAC :
 +<code bash>
 +// ajouter une MAC staique à la main
 +set maclock 00-11-88-4A-28-BF ge.2.72 create
 +</code>
 ====Shaping==== ====Shaping====
  
Line 513: Line 579:
 <code bash> <code bash>
 set lacp enable set lacp enable
-# pour permettre au lag de rester UP même s'il ne possède qu'une interface physique UP 
-set lacp singleport enable 
- 
 set lacp aadminkey lag.0.1 1 set lacp aadminkey lag.0.1 1
 set port lacp port ge.1.24-25 aadminkey 1 set port lacp port ge.1.24-25 aadminkey 1
 set port lacp port ge.1.24-25 enable set port lacp port ge.1.24-25 enable
 +</code>
 +
 +Pour activer l'auto-neg d'un lag entre switchs Enterasys, dès le premier port :
 +<code bash>
 +set lacp singleport enable
 </code> </code>
  
Line 662: Line 730:
 show spantree version show spantree version
 show spantree stats show spantree stats
-# afficher les ports actifs en plus+ 
 +# afficher les ports actifs en plus (commandes équivalentes)
 show spantree stats active show spantree stats active
 +show spantree stats port *.*.* active
 +</code>
 +
 +=====Edge ports====
 +
 +Un port edge est un port "utilisateur" (~ équivalent de portfast chez Cisco), sur lequel se connecte un équipement qui n'est pas un switch et avec lequel le switch n'aura pas à dialoguer en STP. Il n'est pas protégé contre les boucles mais a l'avantage de "monter" (passer UP et FORWARDING) plus rapidement. Les ports edge ne devraient donc jamais envoyer de BPDU.
 +
 +<code bash>
 +# Définir un port comme edge
 +set spantree adminedge ge.1.1 true
 +# ça n'est nécessaire dans l'absolu car la fonction autoedge est activée par défaut
 +show spantree autoedge
 + Auto Edge is set to enable
 +# vérif
 +show spantree adminedge port ge.1.1
 +Port ge.1.1    has a port Admin Edge of Edge-Port
 +</code>
 +
 +
 +=====Spanguard=====
 +
 +Fonctionnalité qui protège contre les "TC" (topology change) intempestifs, le **spanguard** permet de désactiver un port (il passe en "blocking") sur lequel le commutateur reçoit un BPDU. Le port sera réactivé automatiquement à la fin du timeout défini, ou réactivé manuellement.
 +
 +Cela permet de traquer les commutateurs sauvages (installés en douce par des utilisateurs) ou des bridges "mal" configurés sur des PCs (par exemple libvirt pour des machines virtuelles ou docker) : qui n'ont pas désactivé le STP.
 +
 +Il ne faut pas l'activer tant que l'on n'a pas défini nos ISL (liens inter-switchs), sinon cela coupera nos intercos et créera un gros incident des familles.
 +
 +<code bash>
 +show spantree spanguard
 + Spanguard is disabled
 +
 +# Pour fonctionner correctement, il faut préalablement configurer tous les ports utilisateur en edge forcé
 +set spantree adminedge ge.1.1-47 true
 +# mais surtout pas nos ISLs (Inter-Switchs links = les interconnexions avec nos autres commutateurs)
 +clear spantree adminedge ge.1.48        # au cas ou !...
 +
 +# Options éventuelles
 +set spantree spanguardtimeout 60
  
-bloquer les port edge qui envoient des BPDU +Enfin, activer le spanguard
-# (attention aux PC qui ont un bridge br0 (ex : libvirt))+
 set spantree spanguard enabled set spantree spanguard enabled
 </code> </code>
  
-Debug (uniquement sur les châssis Matrix) :+=====Debug===== 
 +(uniquement sur les châssis Matrix) :
 <code bash> <code bash>
 show spantree debug show spantree debug
Line 683: Line 790:
 # activer/désactiver le STP : dépend du modèle : sur A/B/C/D/G/I-Series : # activer/désactiver le STP : dépend du modèle : sur A/B/C/D/G/I-Series :
 set spantree enable / disable set spantree enable / disable
 +
 # sur K/N/S/7100-Series : # sur K/N/S/7100-Series :
 set spantree stpmode ieee8021 / none set spantree stpmode ieee8021 / none
 +# sur les séries BCD:
 +set spantree version { mstp / rstp / stpcompatible }
 </code> </code>
  
Line 913: Line 1023:
 Pour éviter d'avoir un trou dans la numérotation des membres, il faut renuméroter proprement les switchs restant et la conf associée, cf l'article suivant : [[https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-permanently-remove-Securestack-switch-and-configuration-from-an-existing-stack|How to permanently remove SecureStack switch and configuration from an existing stack]] Pour éviter d'avoir un trou dans la numérotation des membres, il faut renuméroter proprement les switchs restant et la conf associée, cf l'article suivant : [[https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-permanently-remove-Securestack-switch-and-configuration-from-an-existing-stack|How to permanently remove SecureStack switch and configuration from an existing stack]]
  
 +=====Renuméroter un membre=====
 +
 +Lorsqu'on sort un switch d'une stack, il conserve ses numéros de port même après un ''clear conf'' : s'il était le membre n°3, ses ports se nomment encore ge.3.*. Pour le repasser en ge.1.* (ou pour renuméroter un membre dans un stack), passer la commande :
 +<code bash>
 +set switch <from-unit> renumber <to-unit>
 +
 +# dans notre exemple : passer de 3 à 1
 +set switch 3 renumber 1
 +</code>
 +NB : cela a pour effet de rebooter le switch.
 ======Routage====== ======Routage======
  
Line 937: Line 1057:
 </code> </code>
 ======Métrologie/SNMP====== ======Métrologie/SNMP======
 +
 +Créer un accès rapide à la communauté "supervSNMP" en read-only pour la métrologie :
 +<code bash>
 +set snmp community supervSNMP
 +set snmp group groupRO user supervSNMP security-model v2c
 +set snmp access groupRO security-model v2c exact read All write none notify All
 +</code>
  
 OIDs utiles : OIDs utiles :
-<code>+<code bash>
 DISMAN-EVENT-MIB::sysUpTimeInstance .1.3.6.1.2.1.1.3.0 uptime DISMAN-EVENT-MIB::sysUpTimeInstance .1.3.6.1.2.1.1.3.0 uptime
 +
 # trouver le port d'une adresse MAC : après l'avoir convertie en décimal : # trouver le port d'une adresse MAC : après l'avoir convertie en décimal :
 # ex 00:26:b9:d2:a6:e1 => 0.38.185.210.166.225 # ex 00:26:b9:d2:a6:e1 => 0.38.185.210.166.225
 .1.3.6.1.2.1.17.4.3.1.2.0.38.185.210.166.225 .1.3.6.1.2.1.17.4.3.1.2.0.38.185.210.166.225
  
 +SNMPv2-SMI::mib-2.47.1.1.1.1.11.x               .1.3.6.1.2.1.47.1.1.1.1.11.x    numéro de série (SN)
 +
 +# séries B-C-D
 +.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.2.1.1           CPU 5s
 +.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3.1.1           CPU 1min
 +.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.4.1.1           CPU 5min
 +
 +# Processus
 +.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.2               liste des noms de process
 +.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.3               %age CPU 5s par process
 +.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.4               %age CPU 1min par process
 +.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.5               %age CPU 5min par process
 +
 +# Matrix
 +.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3               liste % CPU (5s) par slot
 +
 +# Bornes WIFI
 +.1.3.6.1.4.1.5624.1.2.6.5.2.0                    nombre de clients connectés
 </code> </code>
  
Line 958: Line 1104:
  
 source : [[https://gtacknowledge.extremenetworks.com/articles/Q_A/Difference-between-EOS-Spanning-Tree-portadmin-and-portenable-commands|Difference-between-EOS-Spanning-Tree-portadmin-and-portenable-commands]] source : [[https://gtacknowledge.extremenetworks.com/articles/Q_A/Difference-between-EOS-Spanning-Tree-portadmin-and-portenable-commands|Difference-between-EOS-Spanning-Tree-portadmin-and-portenable-commands]]
 +
 +
 +=====Activer les policy sur D2=====
 +
 +Les policy ne sont pas utilisables par défaut sur les modèles D2. Pour cela, il faut activer la licence (aujourd'hui gratuite) et accepter les CLUFs pour pouvoir utiliser les commandes du type ''set policy xxx'' :
 +<code bash>
 +show license
 +D2Policy :   status Inactive
 +
 +set license D2Policy
 +</code>
 +
 +src: [[https://community.extremenetworks.com/communities/community-home/digestviewer/viewthread?MessageKey=cfd4cd29-796b-4848-a2df-5898f088e7ef&CommunityKey=b42c6c6a-cd20-4836-b64b-6ff387134e07&tab=digestviewer#bmcfd4cd29-796b-4848-a2df-5898f088e7ef|Activating the Policy Feature on the D-Series]]
 ======Ressources====== ======Ressources======
  
   * [[https://gtacknowledge.extremenetworks.com/articles/How_To/EOS-Basic-Switch-Layer-2-Configuration-Best-Practices|EOS-Basic-Switch-Layer-2-Configuration-Best-Practices]] (sur gtacknowledge)   * [[https://gtacknowledge.extremenetworks.com/articles/How_To/EOS-Basic-Switch-Layer-2-Configuration-Best-Practices|EOS-Basic-Switch-Layer-2-Configuration-Best-Practices]] (sur gtacknowledge)
  
informatique/enterasys.1538572331.txt.gz · Last modified: 2018/10/03 13:12 by pteu