pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » extreme_networks
Trace: tcpdump bgp ospf extreme_200 awk vpn bash enterasys netfilter extreme_networks
informatique:extreme_networks

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
informatique:extreme_networks [2025/08/27 14:59] – [Firmware] via clé USB pteuinformatique:extreme_networks [2026/03/04 14:51] (current) – [DHCP snooping] pteu
Line 1239: Line 1239:
 enable radius netlogin enable radius netlogin
 </code> </code>
 +
 +NB: le VLAN d'accueil ne peut pas être propagé sur d'autres switchs (voir: [[https://extreme-networks.my.site.com/ExtrArticleDetail?an=000085498|When configuring 802.1X authentication, why can't I configure netlogin VLANs on tagged trunk ports?]])
  
 ===Configuration côté serveur Radius=== ===Configuration côté serveur Radius===
Line 1268: Line 1270:
 [...] [...]
 </file> </file>
 +
 +=====DHCP snooping=====
 +
 +Le DHCP snooping est un service de sécurité qui permet de spécifier à un switch où (sur quel port) est situé le serveur DHCP légitime, afin qu'il bloque les flux DHCP illicites émanant des ports utilisateur. On ne l'active pas toujours avant de rencontrer le premier incident de rogue DHCP server ;) .
 +
 +Le DHCP snooping s'active par port et par VLAN ; les flux bloqués sont les flux à destination des clients (dst udp/68), qui ne sont permis que s'ils arrivent d'un "trust port" = un port desservant un serveur DHCP légitime.
 +
 +On peut choisir l'action à faire (''violation-action'') en plus de bloquer le paquet udp/68.
 +
 +<code bash>
 +# définir un serveur DHCP par VLAN (limité à 8)
 +configure trusted-servers vlan v2 add server 192.168.1.253 trust-for dhcp-server
 +# alternative: définir le port 1 comme "trust port" sans restriction d'IP
 +configure trusted-port 1 trust-for dhcp-server
 +
 +# activer la protection sur les ports utilisateur et bloquer pour 1h l'adresse MAC du rogue DHCP
 +enable ip-security dhcp-snooping vlan v2 port 2-48 violation-action drop-packet block-mac duration 3600 snmp-trap
 +</code>
 +
 +Vérifications
 +<code bash>
 +show ip-security dhcp-snooping vlan v2-Commerciaux
 +show configuration ipSecurity
 +</code>
 +
 +Logs typiques :
 +<code bash>
 +03/03/2026 15:56:41.76 <Warn:ipSecur.dhcpViol> A Rogue DHCP server on VLAN v2 with IP 192.168.0.1 was detected on port 5
 +03/03/2026 15:56:41.76 <Warn:ipSecur.blkMac> DHCP violation occurred. Blocking MAC 70:F3:5A:00:11:22 temporarily
 +</code>
  
 =====Spanning-tree===== =====Spanning-tree=====
informatique/extreme_networks.1756306783.txt.gz · Last modified: 2025/08/27 14:59 by pteu