pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » enterasys
Trace:
informatique:enterasys

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
informatique:enterasys [2021/10/21 09:18] – [Activer les policy sur D2] pteuinformatique:enterasys [2022/12/07 15:25] (current) – [MAC-security] pteu
Line 85: Line 85:
 <code bash> <code bash>
 show users show users
 + Session    User    Location
 + --------- -------  -------------------
 + SSH        admin   10.1.1.24
 + SSH        toto    10.27.132.11
 + telnet     titi    10.27.194.34
 +</code>
 +
 +Pour déconnecter une session ouverte, ou ghost sans attendre son timeout :
 +<code bash>
 +disconnect <IP>
 </code> </code>
  
Line 165: Line 175:
 </code> </code>
  
 +Désactiver le CDP/LLDP :
 +<code bash>
 +set cdp state disable
 +set cdp state disable *.*.*
 +
 +set lldp port status disabled *.*.*
 +</code>
 =====Logging===== =====Logging=====
  
Line 466: Line 483:
 ====MAC-security==== ====MAC-security====
  
-La fonctionnalité mac-security permet de limiter et bloquer le nombre et la valeur d'@mac sur un port+La fonctionnalité maclock permet de limiter et bloquer le nombre et la valeur d'@MAC sur un port. Il s'agit d'un mécanisme de contrôle d'accès à n'activer que sur les ports utilisateurs/edge, et surtout pas sur les ports ISL (inter-switchs) sous peine de bloquer le réseau. 
 + 
 +Exemple de mise en place sur tous les ports utilisateur d'un commutateur, avec 1 MAC par port maximum :
 <code bash> <code bash>
-set maclock enable ge.2.72+set maclock enable ge.1.1-23
 # nb max d'@ mac sur le port (1) # nb max d'@ mac sur le port (1)
-set maclock static ge.2.72 +set maclock static ge.1.1-23 1 
-n'autoriser que cette @ mac +set maclock firstarrival ge.1.1-23 
-set maclock 00-11-88-00-11-22 ge.2.72+activer la fonctionnalité 
 +set maclock enable 
 +
 +# configuration de l'action en cas de dépassement des seuils configurés 
 +set maclock syslog ge.1.1-23 enable violation 
 +# vérifications 
 +show maclock 
 +show maclock stations 
 +# recopie des MAC apprises en firstarrival vers static 
 +set maclock move ge.1.1-23
 </code> </code>
  
 +Vérifications :
 +<code bash>
 +show maclock
 +show maclock stations
 +</code>
 +
 +Modifications manuelle d'une MAC :
 +<code bash>
 +// ajouter une MAC staique à la main
 +set maclock 00-11-88-4A-28-BF ge.2.72 create
 +</code>
 ====Shaping==== ====Shaping====
  
Line 540: Line 579:
 <code bash> <code bash>
 set lacp enable set lacp enable
-# pour permettre au lag de rester UP même s'il ne possède qu'une interface physique UP 
-set lacp singleport enable 
- 
 set lacp aadminkey lag.0.1 1 set lacp aadminkey lag.0.1 1
 set port lacp port ge.1.24-25 aadminkey 1 set port lacp port ge.1.24-25 aadminkey 1
 set port lacp port ge.1.24-25 enable set port lacp port ge.1.24-25 enable
 +</code>
 +
 +Pour activer l'auto-neg d'un lag entre switchs Enterasys, dès le premier port :
 +<code bash>
 +set lacp singleport enable
 </code> </code>
  
Line 697: Line 738:
 =====Edge ports==== =====Edge ports====
  
-Un port edge est un port sur lequel se connecte un équipement qui n'est pas un switch et avec lequel le switch courant n'aura pas à dialoguer en STP. Il n'est pas protégé contre les boucles mais a l'avantage de "monter" (passer UP et FORWARDING) plus rapidement. Les ports edge ne devraient donc jamais envoyer de BPDU.+Un port edge est un port "utilisateur" (~ équivalent de portfast chez Cisco), sur lequel se connecte un équipement qui n'est pas un switch et avec lequel le switch n'aura pas à dialoguer en STP. Il n'est pas protégé contre les boucles mais a l'avantage de "monter" (passer UP et FORWARDING) plus rapidement. Les ports edge ne devraient donc jamais envoyer de BPDU.
  
 <code bash> <code bash>
-# Définir un port comme edge (= feuille = qui n'est pas un switch) +# Définir un port comme edge
-# cela permet une meilleur réactivité lors du branchement d'un équipement+
 set spantree adminedge ge.1.1 true set spantree adminedge ge.1.1 true
-# ça n'est pas nécessairement utile car la fonction autoedge est activée par défaut :+# ça n'est nécessaire dans l'absolu car la fonction autoedge est activée par défaut
 show spantree autoedge show spantree autoedge
  Auto Edge is set to enable  Auto Edge is set to enable
Line 709: Line 749:
 show spantree adminedge port ge.1.1 show spantree adminedge port ge.1.1
 Port ge.1.1    has a port Admin Edge of Edge-Port Port ge.1.1    has a port Admin Edge of Edge-Port
 +</code>
 +
 +
 +=====Spanguard=====
 +
 +Fonctionnalité qui protège contre les "TC" (topology change) intempestifs, le **spanguard** permet de désactiver un port (il passe en "blocking") sur lequel le commutateur reçoit un BPDU. Le port sera réactivé automatiquement à la fin du timeout défini, ou réactivé manuellement.
 +
 +Cela permet de traquer les commutateurs sauvages (installés en douce par des utilisateurs) ou des bridges "mal" configurés sur des PCs (par exemple libvirt pour des machines virtuelles ou docker) : qui n'ont pas désactivé le STP.
 +
 +Il ne faut pas l'activer tant que l'on n'a pas défini nos ISL (liens inter-switchs), sinon cela coupera nos intercos et créera un gros incident des familles.
 +
 +<code bash>
 +show spantree spanguard
 + Spanguard is disabled
 +
 +# Pour fonctionner correctement, il faut préalablement configurer tous les ports utilisateur en edge forcé
 +set spantree adminedge ge.1.1-47 true
 +# mais surtout pas nos ISLs (Inter-Switchs links = les interconnexions avec nos autres commutateurs)
 +clear spantree adminedge ge.1.48        # au cas ou !...
 +
 +# Options éventuelles
 +set spantree spanguardtimeout 60
  
-Bloquer les ports edge qui envoient des BPDUs +Enfin, activer le spanguard
-# (cas des PCs qui ont un bridge br0 (ex : libvirt) sans avoir désactivé le STP)+
 set spantree spanguard enabled set spantree spanguard enabled
 </code> </code>
Line 1018: Line 1079:
 .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3.1.1           CPU 1min .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3.1.1           CPU 1min
 .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.4.1.1           CPU 5min .1.3.6.1.4.1.5624.1.2.49.1.1.1.1.4.1.1           CPU 5min
 +
 +# Processus
 +.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.2               liste des noms de process
 +.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.3               %age CPU 5s par process
 +.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.4               %age CPU 1min par process
 +.1.3.6.1.4.1.5624.1.2.49.1.2.1.1.5               %age CPU 5min par process
  
 # Matrix # Matrix
-.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3               liste % CPU par slot+.1.3.6.1.4.1.5624.1.2.49.1.1.1.1.3               liste % CPU (5s) par slot
  
 # Bornes WIFI # Bornes WIFI
Line 1048: Line 1115:
 set license D2Policy set license D2Policy
 </code> </code>
 +
 +src: [[https://community.extremenetworks.com/communities/community-home/digestviewer/viewthread?MessageKey=cfd4cd29-796b-4848-a2df-5898f088e7ef&CommunityKey=b42c6c6a-cd20-4836-b64b-6ff387134e07&tab=digestviewer#bmcfd4cd29-796b-4848-a2df-5898f088e7ef|Activating the Policy Feature on the D-Series]]
 ======Ressources====== ======Ressources======
  
   * [[https://gtacknowledge.extremenetworks.com/articles/How_To/EOS-Basic-Switch-Layer-2-Configuration-Best-Practices|EOS-Basic-Switch-Layer-2-Configuration-Best-Practices]] (sur gtacknowledge)   * [[https://gtacknowledge.extremenetworks.com/articles/How_To/EOS-Basic-Switch-Layer-2-Configuration-Best-Practices|EOS-Basic-Switch-Layer-2-Configuration-Best-Practices]] (sur gtacknowledge)
  
informatique/enterasys.1634807937.txt.gz · Last modified: 2021/10/21 09:18 by pteu