User Tools

Site Tools


informatique:extreme_networks

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
informatique:extreme_networks [2021/10/20 08:10] – [Management] pteuinformatique:extreme_networks [2023/12/21 15:11] (current) – [Firmware] version recommandée pteu
Line 4: Line 4:
 =====Remarques générales===== =====Remarques générales=====
  
-Par défaut les switchs sont configurés avec 2 VRs (virtuals router), chacun doté d'une table de routage étanche :+Par défaut les switchs sont configurés avec 2 VRs (virtual router), chacun possédant une table de routage étanche :
   * **VR-Mgmt**, le VR de management avec le port d'admin (Mgmt), dont le vlan est 4095   * **VR-Mgmt**, le VR de management avec le port d'admin (Mgmt), dont le vlan est 4095
   * **VR-Default**, celui dans lequel tous les autres ports sont configurés   * **VR-Default**, celui dans lequel tous les autres ports sont configurés
Line 10: Line 10:
 Pour les versions 16 et antérieures, le SSH est une fonctionnalité optionnelle, installable via un paquet téléchargeable dans le "download center" du site officiel (en saisissant le serial d'un équipement). Pour les versions 16 et antérieures, le SSH est une fonctionnalité optionnelle, installable via un paquet téléchargeable dans le "download center" du site officiel (en saisissant le serial d'un équipement).
  
-Par défaut les résultats de commandes s'affichent page par page ; pour afficher tout le retour en une seule fois (pour supprimer les "Press <SPACE> to continue or <Q> to quit: ~more" (''terminal length'' chez Cisco)) :+Par défaut les résultats de commandes s'affichent page par page ; pour afficher tout le retour en une seule fois (pour supprimer les "Press <SPACE> to continue or <Q> to quit: ~more" (''terminal length 0'' chez Cisco)) :
 <code bash> <code bash>
 +disable cli paging
 +enable cli paging
 +
 +# pour les versions EXOS antérieures à 30:
 disable clipaging disable clipaging
 enable clipaging enable clipaging
 </code> </code>
-Depuis les version 30, les commandes précitées, bien que toujours prises en compte, deviennent : +
-<code bash> +
-disable cli paging +
-enable cli paging +
-</code>+
 =====Licences===== =====Licences=====
  
Line 110: Line 110:
 ====Management==== ====Management====
  
-Configurer une adresse IP sur le port de management ''Mgmt'' (situé physiquement à côté du port Console) :+Configurer une adresse IP sur le port de management ''Mgmt'' (situé physiquement au dessus du port Console) :
 <code bash> <code bash>
 configure vlan Mgmt ipaddress 10.0.0.1 255.255.255.0 configure vlan Mgmt ipaddress 10.0.0.1 255.255.255.0
Line 117: Line 117:
 configure iproute add default 10.0.0.254 vr VR-Mgmt configure iproute add default 10.0.0.254 vr VR-Mgmt
 </code> </code>
-Ce port est affecté au vlan Mgmt, lui-même attribué au VR-Mgmt. Cela signifie qu'il est indépendant de la configuration des autres ports et routes du switch, ce qui permet d'avoir un accès indépendant pour plus de sécurité. Par défaut tous les autres ports sont positionnés dans le VR-Default.+Ce port est affecté au vlan Mgmt, lui-même attribué au VR-Mgmt. Cela signifie qu'il est indépendant de la configuration des autres ports et routes du switch, ce qui permet d'avoir un accès indépendant pour plus de sécurité. Ce port de mgmt n'est [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000059306|pas reconfigurable et ne peut pas être supprimé du VLAN 4095 de management]]. Par défaut tous les autres ports sont positionnés dans le VR-Default.
  
 Si on ne veut pas se servir de ce port de Mgmt dédié, on peut tout-à-fait configurer une IP sur un VLAN du VR de prod, par exemple le VLAN "Default" : Si on ne veut pas se servir de ce port de Mgmt dédié, on peut tout-à-fait configurer une IP sur un VLAN du VR de prod, par exemple le VLAN "Default" :
Line 130: Line 130:
 </code> </code>
  
-Il est possible de positionner une adresse par VLAN si on le souhaite. Si on veut activer le routage entre ces VLANs, il faut activer l'ipforwarding dessus (cf [[informatique:extreme_networks#Routage|routage]])+Il est possible de positionner une adresse par VLAN si on le souhaite. Si on veut activer le routage entre ces VLANs, il faut activer l' ''ipforwarding'' dessus (cf [[informatique:extreme_networks#Routage|routage]])
  
 Afficher et modifier la configuration de l'admin du switch (SSH, TELNET, idle-timeout, etc) Afficher et modifier la configuration de l'admin du switch (SSH, TELNET, idle-timeout, etc)
 <code bash> <code bash>
-show management+show switch management
  
-configure idletimeout [0-240 min]+CLI idle timeout                 : Enabled (60 minutes) 
 +CLI max number of login attempts : 3 
 +CLI max number of sessions       : 8 
 +CLI paging                       : Enabled 
 +CLI space-completion             : Disabled (this session only) 
 +CLI configuration logging        : Enabled (without expansion) 
 +CLI journal size                 : 100 
 +CLI password prompting only      : Disabled 
 +CLI display moved-keywords       : Hidden 
 +CLI moved-keywords hidden release: 31.7 
 +CLI RADIUS cmd authorize tokens  : 2 
 +CLI scripting                    : Disabled (this session only) 
 +CLI scripting error mode         : Ignore-Error (this session only) 
 +CLI script search path           : ".:/usr/local/cfg" (this session only) 
 +CLI persistent mode              : Persistent (this session only) 
 +CLI prompting                    : Enabled (this session only) 
 +CLI screen size                  : 68 Lines 135 Columns (this session only) 
 +CLI refresh                      : Enabled 
 +CLI history expansion            : Disabled 
 +Image integrity checking         : Off 
 +Current system port notation     : port 
 +Configured system port notation  : port 
 +Telnet access                    : Disabled (tcp port 23 vr all) 
 +                                 : Access Profile : not set 
 +SSH access                       : Enabled (Key valid, tcp port 22 vr all) 
 +                                 : Secure-Mode    : Off 
 +                                 : Access Profile : not set 
 +SSH2 idle time                   : 60 minutes 
 +SSH2 rekey interval              : 4096 MB and no time limit 
 +Web access                       : Disabled (tcp port 80) 
 +                                 : Access Profile : not set 
 +Total Read Only Communities      : 3 
 +Total Read Write Communities     : 0 
 +RMON                             : Disabled 
 +SNMP access                      : Enabled 
 +                                 : Access Profile : not set 
 +SNMP Notifications               : Enabled 
 +SNMP Notification Receivers  : None 
 +SNMP stats:     InPkts 0       OutPkts         Errors 0       AuthErrors 0 
 +                Gets         GetNexts  0       Sets         Drops      0 
 +SNMP traps:     Sent         AuthTraps Enabled 
 +SNMP inform:    Sent         Retries         Failed 0
 </code> </code>
  
Line 179: Line 220:
 Vérifications : Vérifications :
 <code bash> <code bash>
-show management+show ssh2 
 +show switch management
 </code> </code>
  
 ===Filtrage des accès SSH=== ===Filtrage des accès SSH===
  
-Protection de l'accès SSH par ACL (ici nommée protect-ssh)+Protection de l'accès SSH par ACL (contenue dans le fichier **protect-ssh.pol**)
 <code bash> <code bash>
 configure ssh2 access-profile protect-ssh configure ssh2 access-profile protect-ssh
Line 216: Line 258:
 # autres comptes administrateur : # autres comptes administrateur :
 create account admin toto <PWD> create account admin toto <PWD>
 +# ou "create account admin titi encrypted "$5$fusqbipgusdgfdfg4sfh*mdù""
  
 # pour les comptes utilisateurs + mot de passe # pour les comptes utilisateurs + mot de passe
 create account user tata <PWD> create account user tata <PWD>
 +
 +# pour les compte d'interception légale :
 +create account lawful-intercept <LOGIN> <PWD>
 </code> </code>
-Il n'existe que 2 niveaux de privilège, non configurables : RO (lecture seule) et RW (admin).+ 
 +Il existe 2 niveaux de privilège classiques, non configurables : user (lecture) et admin (root). Le "Lawful Intercept Account" est un peu spécial ; comme son nom l'indique il est conçu pour les interceptions légales, et possède les particularités suivantes : il 
 +  * n'apparait pas dans la conf 
 +  * n'est pas loggué 
 +  * n'est pas désactivable 
 +  * est volatile (il doit être recréé à chaque redémarrage) 
 +  * permet uniquement de configurer des ACLs dynamiques et des mirroring de ports non sauvegardés dans la conf (ils disparaissent après reboot)
  
 Modifier le mot de passe d'un compte existant : Modifier le mot de passe d'un compte existant :
 <code bash> <code bash>
-configure account <utilisateur> <nouveau MDP>+configure account <utilisateur> password 
 + <nouveau MDP>
 </code> </code>
  
Line 251: Line 304:
 ===Failsafe account=== ===Failsafe account===
  
-Le **failsafe account** est un compte préconfiguré, n'apparaissant pas dans un ''show conf'', qui permet de se connecter au switch quand on a perdu le mot de passe d'accès au switch (utilisable uniquement via la console ou control fabric par défaut). Son login est "ONE TIME FAILSAFE" par défaut, il affiche un challenge à envoyer au GTAC qui génère un OTP à saisir. Pour le désactiver :+Le **failsafe account** est un compte préconfiguré, n'apparaissant pas dans un ''show conf'', qui permet de se connecter au switch quand on a perdu le mot de passe d'accès au switch (utilisable uniquement via la console ou control fabric par défaut). Son login est "ONE TIME FAILSAFE" par défaut, il affiche un challenge à envoyer au GTAC qui génère un OTP à saisir. Pour vérifier s'il est activé : ''show failsafe-account'' 
 + 
 +Pour le désactiver :
 <code bash> <code bash>
 configure failsafe-account deny all configure failsafe-account deny all
Line 258: Line 313:
 cf : https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-access-an-EXOS-switch-using-a-one-time-failsafe-password cf : https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-access-an-EXOS-switch-using-a-one-time-failsafe-password
  
 +====Radius / mgmt-access====
  
 +Pour utiliser une d'utilisateur base distante et centralisé, on peut configurer le client Radius :
 +<code bash>
 +configure radius mgmt-access primary server 10.0.1.1 1812 client-ip 10.0.2.254 vr VR-Default
 +configure radius mgmt-access primary shared-secret <MDP défini sur le serveur Radius>
 +enable radius mgmt-access
 +</code>
 +====Politique de mots de passe====
 +
 +Pour configurer une politique de mot de passe :
 +<code bash>
 +SW# configure account all password-policy ?
 +  char-validation            Password character validation
 +  history                    Check passwords against ones stored in history
 +  lockout-on-login-failures  Lockout account in case of multiple login failures
 +  lockout-time-period        Period of time to lockout account in case of multiple login failures
 +  max-age                    Maximum age of password, between 1 and 365 days
 +  min-age                    Minimum age of password, between 1 and 365 days
 +  min-different-characters   Minimum number of different characters between old and new password
 +  min-length                 Minimum length of password, between 1 and 32 characters
 +</code>
 +
 +Le nombre max de mauvais logins est configurable avec la commande :
 +<code bash>
 +configure cli max-failed-logins <1-10>
 +</code>
 +
 +Si un compte est verrouillé par suite de trop de tentatives de login incorrectes, on verra dans les logs le message:
 +<code bash>
 +<Warn:AAA.accountLockedOut> Account for user 'admin' locked out!
 +</code>
 +
 +Pour le débloquer : ''clear account admin lockout'' ->
 +<code bash>
 +<Info:AAA.accountMod> User 'admin2' modified clear lockout setting for 'admin' user(s).
 +</code>
 ====DNS==== ====DNS====
  
Line 428: Line 519:
 ====Firmware==== ====Firmware====
  
-Pour obtenir la version d'EXOS (ici 21.1.1.4) :+Pour obtenir la version d'EXOS courante (ici 21.1.1.4) :
 <code bash> <code bash>
 show version show version
Line 443: Line 534:
 </code> </code>
 Cette commande retourne également la liste des commutateurs de la stack et les modules additionnels, ainsi que leurs //serial number// respectifs (ici SN=1531N-01234). Cette commande retourne également la liste des commutateurs de la stack et les modules additionnels, ainsi que leurs //serial number// respectifs (ici SN=1531N-01234).
 +
 +Consulter la page [[https://www.extremenetworks.com/support/compatibility-matrices/sw-release-extremexos-eos/|ExtremeXOS and Switch Engine Release Recommendations]] pour connaitre la version recommandée par le constructeur.
  
 ===MAJ firmware=== ===MAJ firmware===
Line 450: Line 543:
 <code bash> <code bash>
 download image  1.1.1.1 <filename> vr "VR-Default" secondary download image  1.1.1.1 <filename> vr "VR-Default" secondary
 +</code>
 +
 +Téléchargement sur la partition inactive + installation + reboot (all-in-one)
 +<code bash>
 +download image 1.1.1.1 summitX-31.7.2.28-patch1-38.xos vr VR-Mgmt install reboot
 </code> </code>
  
Line 571: Line 669:
 Total number of MLD control packets snooped = 0. Total number of MLD control packets snooped = 0.
 Total number of MLD data packets switched = 0. Total number of MLD data packets switched = 0.
 +
 +# alternative à "sh l2stats"
 +run script spath-stats.py
 +
 +show ipstats ipv4 vlan Default
 +
 +debug hal show congestion
 +</code>
 +====Détecter une boucle====
 +
 +Trouver les ports qui génèrent une boucle avec l'ELRP (Extreme Loop Recovery Protocol) (c'est un test unique et non un service en arrière-plan) :
 +<code bash>
 +clear l2stats
 +# après quelques secondes, afficher les compteurs de chaque VLAN
 +show l2stats
 +
 +# à effectuer sur le VLAN qui possède le plus de paquets remontés à la CPU
 +# src: https://extremeportal.force.com/ExtrArticleDetail?an=000090973
 +enable elrp-client
 +configure elrp-client one-shot <vlan_name> ports all print-and-log
 +# après le test
 +disable elrp-client
 </code> </code>
  
Line 801: Line 921:
 show fdb ports <port> show fdb ports <port>
 show fdb vlan <vlan> show fdb vlan <vlan>
 +
 +# enregistrer une entrée statique dans le FDB
 +# create [fdbentry | fdb] <mac_addr> vlan <vlan_name> ports <port#>
 +create fdb 00:11:22:33:44:55 vlan v10_users ports 12
  
 # interroger la table ARP (association adresse IP <-> MAC) # interroger la table ARP (association adresse IP <-> MAC)
Line 813: Line 937:
 show iparp vlan <vlan> show iparp vlan <vlan>
 </code> </code>
 +
 +# créer une association ARP statique :
 +configure iparp add 10.0.20.2 vr VR-Default bc:30:5b:12:34:56
  
 [[https://gtacknowledge.extremenetworks.com/articles/Q_A/How-to-check-ports-for-possible-blocking|Commande de diagnostique bas niveau]] : [[https://gtacknowledge.extremenetworks.com/articles/Q_A/How-to-check-ports-for-possible-blocking|Commande de diagnostique bas niveau]] :
Line 947: Line 1074:
 </code> </code>
  
 +====mac-locking====
 +
 +Le contrôle d'accès par adresse MAC / mac-locking permet de limiter l'accès d'un port à une ou des adresses MAC. Dans un premier temps on place le switch dans une période d’apprentissage des adresses, à l'issue de laquelle on fige les couples port;adresse MAC. Toute nouvelle adresse MAC dépassant le seuil d'adresse configurée par port provoquera une coupure de ce dernier et l'émission d'une alerte.
 +
 +Exemple rapide de mise en place :
 +<code bash>
 +# activation du mac-locking sur tous les ports "user" (pas l'uplink)
 +enable mac-locking ports 1-47
 +# configuration de l''apprentissage dynamique, limité à 1 adresse par port
 +# nb: pas d''aging = les MAC apprises restent liées à leur port, même si la MAC disparait de la FDB
 +configure mac-locking ports 1-47 first-arrival limit-learning 1
 +# activation du mac-locking
 +enable mac-locking
 +
 +# [ phase d''apprentissage ]
 +
 +# vérifs
 +show mac-locking stations ports 1-47
 +# on limite le nombre d''adresse à une par port
 +configure mac-locking ports 1-47 static limit-learning 1
 +# copie des MAC apprises en static
 +configure mac-locking ports 1-47 first-arrival move-to-static
 +# vérifs
 +show mac-locking ports 1-47
 +show mac-locking stations ports 1-47
 +# configurer les actions si dépassement de seuil (violation)
 +configure mac-locking ports 1-47 learn-limit-action disable-port
 +</code>
 +
 +Vérifications
 +<code bash>
 +show mac-locking ports 1-47
 +show mac-locking stations ports 1-47
 +
 +# ajouter ou supprimer une MAC d''un port
 +configure mac-locking ports 47 static [add | enable | disable] @MAC
 +</code>
 +
 +====authentification par mac====
 +
 +On peut également faire vérifier l'adresse MAC d'un port par un serveur Radius, et si validé, basculer ce port sur le VLAN envoyé par le serveur Radius.
 +
 +===Configuration côté switch===
 +<code bash>
 +# création du VLAN d'accueil (VLAN par défaut si MAC non authentifiée) et 10 (VLAN utilisateur)
 +create vlan v10_Users tag 10
 +create vlan v666_Accueil tag 666
 +!
 +# configuration du serveur Radius
 +configure radius netlogin primary server 10.4.1.1 1814 client-ip 10.5.255.253 vr VR-Default
 +configure radius netlogin primary shared-secret encrypted "blablahashé"
 +!
 +# configuration de l'authentification par adresse MAC
 +
 +configure netlogin vlan v666_Accueil
 +enable netlogin mac 
 +configure netlogin mac authentication database-order radius
 +# on active la protection MAC sur les port 1 à 8 (arbitraire)
 +enable netlogin ports 1-8 mac 
 +configure netlogin add mac-list ff:ff:ff:ff:ff:ff 48
 +!
 +enable radius
 +enable radius netlogin
 +</code>
 +
 +===Configuration côté serveur Radius===
 +Dans le cas de freeradius, il faut :
 +* ajouter l'IP du switch (10.5.255.253) et son "secret" dans clients.conf
 +* activer le plugin **authorized_macs**
 +* peupler le fichier **authorized_macs** avec la liste des adresses MAC permises (format 00-11-22-33-44-55)
 +* dans la section authorize de la configuration du site :
 +<file site-enabled/mac-auth>
 +[...]
 +authorize {
 +   preprocess
 +   # convertir l'@ mAC dans le bon format
 +   rewrite_calling_station_id
 +   #auth_log
 +   authorized_macs
 +   if (ok) {
 +      # The MAC address was found, so update Auth-Type to accept this auth.
 +      update control {
 +         Auth-Type := Accept
 +      }
 +      update reply {
 +         Tunnel-Type := VLAN
 +         Tunnel-Medium-Type := IEEE-802
 +         Tunnel-private-Group-ID := 100
 +      }
 +   }
 +}
 +[...]
 +</file>
  
 =====Spanning-tree===== =====Spanning-tree=====
Line 1069: Line 1289:
 Si on modifie une access-list déjà appliquée sur un port, il faut la réappliquer : Si on modifie une access-list déjà appliquée sur un port, il faut la réappliquer :
 <code bash> <code bash>
 +check policy internet-in
 refresh policy internet-in refresh policy internet-in
 </code> </code>
Line 1319: Line 1540:
 Stack Topology is a Ring Stack Topology is a Ring
 </code> </code>
 +
 +====Synchroniser les images d'un slot====
 +
 +Il peut arriver qu'une stack monte avec une image active sur des partitions différentes entre plusieurs slots ; par exemple :
 +<code bash>
 +show switch
 +[..]
 +Slot:             Slot-1 *                     Slot-2
 +                  ------------------------     ------------------------
 +Current State:    MASTER                       BACKUP (In Sync)
 +
 +Image Selected:   primary                      secondary
 +Image Booted:     primary                      secondary
 +Primary ver:      30.7.1.1                     30.5.1.15
 +                  patch1-23
 +Secondary ver:    30.2.1.8                     30.7.1.1
 +                                               patch1-23
 +</code>
 +
 +On voit que la version 30.7.1.1 est installé sur des partitions différentes : primaru sur le slot1 et secondary sur le slot 2. Cela fonctionne, mais les montées de versions génèrent une erreur : ''Error: active partitions must be the same across the stack''. Pour corriger cela il faut installer l'image courante (30.7.1.1patch1-23) sur la partition primary du slot 2:
 +<code bash>
 +install image inactive slot 2
 + This will overwrite the image installed on the secondary partition with the image installed on the primary partition.
 + Do you want to proceed? (y/N) Yes
 + Copying image to secondary partition... 100% complete.
 + Image installed to the secondary partition successfully.
 +</code>
 +
 +Puis définir cette partition comme active :
 +<code bash>
 +use image primary slot 2
 +
 +# vérification:
 +show slot 2 detail | grep ary
 +     Image Selected:      primary
 +     Image Booted:        secondary
 +     Primary ver:         30.7.1.1
 +     Secondary ver:       30.7.1.1
 +
 +# Puis, rebooter:
 +reboot
 +
 +# après reboot:
 +show switch
 +[..]
 +Slot:             Slot-1 *                     Slot-2
 +                  ------------------------     ------------------------
 +Current State:    MASTER                       BACKUP
 +
 +Image Selected:   primary                      primary
 +Image Booted:     primary                      primary
 +Primary ver:      30.7.1.1                     30.7.1.1
 +                  patch1-23                    patch1-23
 +Secondary ver:    30.2.1.8                     30.7.1.1
 +                                               patch1-23
 +</code>
 +
 ====Liens==== ====Liens====
   * [[https://gtacknowledge.extremenetworks.com/articles/How_To/Getting-started-with-Summit-Stacking|Getting started with Summit Stacking]]   * [[https://gtacknowledge.extremenetworks.com/articles/How_To/Getting-started-with-Summit-Stacking|Getting started with Summit Stacking]]
Line 1343: Line 1621:
 =====packet capture===== =====packet capture=====
  
-Pour réaliser une capture de paquets (sniff / tcpdump-like)+Pour réaliser une capture des paquets qui remontent à la CPU (sniff / tcpdump-like)
 <code bash> <code bash>
-debug packet capture ports 8 on vlan default cmd-args "-c 100"+# activer/désactiver la capture 
 +debug packet capture on 
 +debug packet capture off 
 + 
 +# limiter la capture aux ports 2 et 3, et à 100 paquets 
 +debug packet capture port 2-3 on count 100 
 + 
 +# sauvegarde dans un fichier pcap, récupérable dans /usr/local/tmp 
 +debug packet capture ports 2-3 on file-name <pcap-file> count 100 
 + 
 +# limiter la capture sur le port 8, le vlan Default et à 100 paquets (alt.) 
 +debug packet capture ports 8 on vlan Default cmd-args "-c 100"
 </code> </code>
  
-([[https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-perform-a-local-packet-capture-on-an-EXOS-switch|source]])+Il est important de toujours désactiver la capture, quelque soit les options utilisées (même count). 
 + 
 +Sources : 
 +  * [[https://extremeportal.force.com/ExtrArticleDetail?an=000079573|Perform a packet capture in the EXOS CLI using the command "debug packet capture"]]
  
  
Line 1447: Line 1739:
 # application de la routemap # application de la routemap
 configure bgp neighbor 10.55.6.92 route-policy in BGP-in configure bgp neighbor 10.55.6.92 route-policy in BGP-in
 +</code>
 +
 +Après la MAJ d'une policy, pour qu'elle soit prise en compte :
 +<code bash>
 +check policy BGP-in.pol
 +refresh policy BGP-in
 +configure bgp soft-reconfiguration
 </code> </code>
  
Line 1521: Line 1820:
  
  
 +=====Scripts Python=====
 +
 +Les EXOS interprètent les scripts Python depuis la v15.7 ; 2 scripts sont fournis de base pour aider au diagnostique :
 +  * **spath-stats.py** pour aider au diag de problème CPU (il est basé sur le retour de la commande "sh l2stats")
 +  * **mem-stats.py** qui collecte le stats mémoire sur le système
 +
 +On peut les exécuter avec la commande : ''run script'' ; par exemple ''run script mem-stats.py''.
 =====Tips===== =====Tips=====
  
informatique/extreme_networks.1634717437.txt.gz · Last modified: 2021/10/20 08:10 by pteu