Differences

This shows you the differences between two versions of the page.

--- informatique:extreme_networks [2025/07/15 09:53] – [BGP] voir les routes BGP pteu
+++ informatique:extreme_networks [2026/03/04 14:51] (current) – [DHCP snooping] pteu
@@ Line 607: / Line 607: @@
   * via clé USB
+ref:  [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000081794|Upgrade Switch Engine (EXOS) via USB]]
+Avant EXOS 31.1:
 <code bash>
-# puis vérifier qu'elle soit reconnue
+# vérifier qu'elle soit reconnue (elle doit être en FAT32)
 show memorycard
@@ Line 617: / Line 621: @@
  This image will be used only after rebooting the switch!
 </code>
+Depuis la version EXOS 31.1
+<code bash>
+# vérifier que la clé USB est reconnue et montée (elle doit être en FAT32)
+show switch mounts
+Memory storage is present.
+!
+show switch usb
+USB port: Disabled
+# Si KO, activer la prise en chagre de l'USB
+enable switch usb
+This setting will take effect at the next system reboot
+# la clé USB est montée ici:
+ls /usr/local/ext
+-rwxrwxr--    1 admin    admin    113982743 Mar 26 18:50 summit_arm-32.7.2.19.xos
+[..]
+# copier l'image dans la mémoire interne
+download url file:///usr/local/ext/summit_arm-32.7.2.19.xos
+</code>
+Puis ''reboot''.
   * via scp
@@ Line 1212: / Line 1239: @@
 enable radius netlogin
 </code>
+NB: le VLAN d'accueil ne peut pas être propagé sur d'autres switchs (voir: [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000085498|When configuring 802.1X authentication, why can't I configure netlogin VLANs on tagged trunk ports?]])
 ===Configuration côté serveur Radius===
@@ Line 1241: / Line 1270: @@
 [...]
 </file>
+=====DHCP snooping=====
+Le DHCP snooping est un service de sécurité qui permet de spécifier à un switch où (sur quel port) est situé le serveur DHCP légitime, afin qu'il bloque les flux DHCP illicites émanant des ports utilisateur. On ne l'active pas toujours avant de rencontrer le premier incident de rogue DHCP server ;) .
+Le DHCP snooping s'active par port et par VLAN ; les flux bloqués sont les flux à destination des clients (dst udp/68), qui ne sont permis que s'ils arrivent d'un "trust port" = un port desservant un serveur DHCP légitime.
+On peut choisir l'action à faire (''violation-action'') en plus de bloquer le paquet udp/68.
+<code bash>
+# définir un serveur DHCP par VLAN (limité à 8)
+configure trusted-servers vlan v2 add server 192.168.1.253 trust-for dhcp-server
+# alternative: définir le port 1 comme "trust port" sans restriction d'IP
+configure trusted-port 1 trust-for dhcp-server
+# activer la protection sur les ports utilisateur et bloquer pour 1h l'adresse MAC du rogue DHCP
+enable ip-security dhcp-snooping vlan v2 port 2-48 violation-action drop-packet block-mac duration 3600 snmp-trap
+</code>
+Vérifications
+<code bash>
+show ip-security dhcp-snooping vlan v2-Commerciaux
+show configuration ipSecurity
+</code>
+Logs typiques :
+<code bash>
+/03/2026 15:56:41.76 <Warn:ipSecur.dhcpViol> A Rogue DHCP server on VLAN v2 with IP 192.168.0.1 was detected on port 5
+/03/2026 15:56:41.76 <Warn:ipSecur.blkMac> DHCP violation occurred. Blocking MAC 70:F3:5A:00:11:22 temporarily
+</code>
 =====Spanning-tree=====
@@ Line 1874: / Line 1933: @@
 <WRAP center round important 80%>
-Les commandes précédentes n'affiche que le nombre de route demandées (rejected/suppressed ; pour voir les routes rejetées/supprimées il faut activer l'option ''soft-reset in/out'' : ''configure bgp neighbor 10.55.200.92 soft-reset [ in | out ]''
+Les commandes précédentes n'affiche que le nombre de route demandées (rejected/suppressed ; pour voir les routes rejetées/supprimées [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000095632|il faut activer l'option]] ''soft-reset in/out'' : ''configure bgp neighbor 10.55.200.92 soft-reset [ in | out ]''
 </WRAP>