Differences

This shows you the differences between two versions of the page.

--- informatique:extreme_networks [2025/02/05 16:09] – [Hardware] x695 pteu
+++ informatique:extreme_networks [2026/03/04 14:51] (current) – [DHCP snooping] pteu
@@ Line 607: / Line 607: @@
   * via clé USB
+ref:  [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000081794|Upgrade Switch Engine (EXOS) via USB]]
+Avant EXOS 31.1:
 <code bash>
-# puis vérifier qu'elle soit reconnue
+# vérifier qu'elle soit reconnue (elle doit être en FAT32)
 show memorycard
@@ Line 617: / Line 621: @@
  This image will be used only after rebooting the switch!
 </code>
+Depuis la version EXOS 31.1
+<code bash>
+# vérifier que la clé USB est reconnue et montée (elle doit être en FAT32)
+show switch mounts
+Memory storage is present.
+!
+show switch usb
+USB port: Disabled
+# Si KO, activer la prise en chagre de l'USB
+enable switch usb
+This setting will take effect at the next system reboot
+# la clé USB est montée ici:
+ls /usr/local/ext
+-rwxrwxr--    1 admin    admin    113982743 Mar 26 18:50 summit_arm-32.7.2.19.xos
+[..]
+# copier l'image dans la mémoire interne
+download url file:///usr/local/ext/summit_arm-32.7.2.19.xos
+</code>
+Puis ''reboot''.
   * via scp
@@ Line 650: / Line 677: @@
   * ''Error: Failed to download image on Slot-3 - tftp: write error''
 L'erreur apparait après téléchargement de l'image sur le master, pendant le transfert vers les autres slots de la stack, lors de la MAJ de le 22 vers la v30.7. En passant par la version intermédiaire 30.2.1.8, le problème n'apparait plus. ([[https://gtacknowledge.extremenetworks.com/articles/Solution/000043762|source GTAC]])
+  * autre erreur TFTP quand on passe de la 30.1 à la 30.3 : ''rm: cannot remove '/scratch': Device or resource busy
+ Error: Failed to download image on Slot-2 - tftp: write error'' -> [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000058389|Upgrading To EXOS 30.3 or Higher Fails with TFTP Errors]]
 ====Commandes UNIX-like====
@@ Line 1208: / Line 1239: @@
 enable radius netlogin
 </code>
+NB: le VLAN d'accueil ne peut pas être propagé sur d'autres switchs (voir: [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000085498|When configuring 802.1X authentication, why can't I configure netlogin VLANs on tagged trunk ports?]])
 ===Configuration côté serveur Radius===
@@ Line 1237: / Line 1270: @@
 [...]
 </file>
+=====DHCP snooping=====
+Le DHCP snooping est un service de sécurité qui permet de spécifier à un switch où (sur quel port) est situé le serveur DHCP légitime, afin qu'il bloque les flux DHCP illicites émanant des ports utilisateur. On ne l'active pas toujours avant de rencontrer le premier incident de rogue DHCP server ;) .
+Le DHCP snooping s'active par port et par VLAN ; les flux bloqués sont les flux à destination des clients (dst udp/68), qui ne sont permis que s'ils arrivent d'un "trust port" = un port desservant un serveur DHCP légitime.
+On peut choisir l'action à faire (''violation-action'') en plus de bloquer le paquet udp/68.
+<code bash>
+# définir un serveur DHCP par VLAN (limité à 8)
+configure trusted-servers vlan v2 add server 192.168.1.253 trust-for dhcp-server
+# alternative: définir le port 1 comme "trust port" sans restriction d'IP
+configure trusted-port 1 trust-for dhcp-server
+# activer la protection sur les ports utilisateur et bloquer pour 1h l'adresse MAC du rogue DHCP
+enable ip-security dhcp-snooping vlan v2 port 2-48 violation-action drop-packet block-mac duration 3600 snmp-trap
+</code>
+Vérifications
+<code bash>
+show ip-security dhcp-snooping vlan v2-Commerciaux
+show configuration ipSecurity
+</code>
+Logs typiques :
+<code bash>
+/03/2026 15:56:41.76 <Warn:ipSecur.dhcpViol> A Rogue DHCP server on VLAN v2 with IP 192.168.0.1 was detected on port 5
+/03/2026 15:56:41.76 <Warn:ipSecur.blkMac> DHCP violation occurred. Blocking MAC 70:F3:5A:00:11:22 temporarily
+</code>
 =====Spanning-tree=====
@@ Line 1670: / Line 1733: @@
   * [[https://gtacknowledge.extremenetworks.com/articles/How_To/Getting-started-with-Summit-Stacking|Getting started with Summit Stacking]]
     * et particulièrement : [[https://gtacknowledge.extremenetworks.com/articles/How_To/000001503|How to create a stack with Summit switches]]
+    * [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000087807|Where Can I Find the EXOS Stacking Tool?]] -> (spoil: [[https://stackingtool.extremenetworks.com/StackingTool/|Stacking tool]])
 ====Divers====
@@ Line 1851: / Line 1915: @@
 show bgp neighbor 10.55.200.92 accepted-routes all
 show bgp neighbor 10.55.200.92 rejected-routes all
+[...]
+BGP Route Statistics
+  Total Rxed Routes : 8
+  Rejected Routes   : 1
+  Unfeasible Routes : 0
 !
 show bgp neighbor 10.55.200.92 transmitted-routes all
@@ Line 1862: / Line 1931: @@
 show bgp neighbor 10.55.200.92 suppressed-routes all
 </code>
+<WRAP center round important 80%>
+Les commandes précédentes n'affiche que le nombre de route demandées (rejected/suppressed ; pour voir les routes rejetées/supprimées [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000095632|il faut activer l'option]] ''soft-reset in/out'' : ''configure bgp neighbor 10.55.200.92 soft-reset [ in | out ]''
+</WRAP>
 ===Suppression de la conf BGP===