Shunze 學園 (http://www.shunze.info/forum/index.php)
|- Extreme & Enterasys (http://www.shunze.info/forum/board.php?boardid=31)
|-- 《分享》Enterasys Switch基本設定 (http://www.shunze.info/forum/threadid.php?boardid=31&threadid=1801)


作者: shunze 發表時間: 2014-06-15, 23:00:

《分享》Enterasys Switch基本設定

無預設IP配置,第一次連入需以serial port接上console線後,透過console模式連入。

Baud rate: 9600
Data bits: 8
Flow control: disabled
Stop bits: 1
Parity: none



帳號密碼管理
系統預設有三組帳號ro、rw及admin,預設無密碼。
– ro for Read-Only access.
– rw for Read-Write access.
– admin for Super User access.

不同登入帳號,其命令提示符號也不相同。
Admin: B5(su)->
Read-Write: B5(rw)->
Read-Only: B5(ro)->

變更密碼
set password [username]

只有admin權限才可以使用參數[username]來修改其它帳號之密碼



建立使用者帳號
set system login username {super-user | read-write | read-only} {enable | disable} [password password]


顯示登入記錄
show system login


設定時間
set time [mm/dd/yyyy] [hh:mm:ss]


輸入指令時,可以透過tab鍵顯示未完的命令;
也可以輸入?號,來取得該命令之相關參數。
若未輸入完成之指令不會與其它指令混淆,可以在未完成的情況下按下enter或輸入參數,自動完成其指令。


設定管理用IP
set ip address 192.168.10.1 mask 255.255.255.0 [gateway ip-gateway]

該IP存在於管理用的HOST VLAN。

清除IP
clear ip address


預設的HOST管理VLAN在VLAN 1,
要修改管理VLAN,可透過以下指令,前提是該VLAN要存在。
set host vlan vlan-id


查看HOST VLAN
show host vlan



VLAN設定
VLAN設定請參考另外一篇 VLAN的VID與PVID


管理連線方式
啟用/停用telnet及SSH
set {telnet | ssh} [enable | disable]


啟用/停用WebView
set webview {enable [ssl-only] | disable}



組態設定
Enterasys的組態運行模式與Cisco不同,
Cisco將運作中的組態寫於runnig-config中,若組態要於重開機後發生作用,
需透過指令copy running-config startup-config將組態寫入開機組態startup-config中。

而Enterasys並沒有所謂的running-config與startup-config組態檔,組態在修改異動時,隨即產生效果;
所以不需像Cisco一樣需要寫回開機組態檔。
(與Cisco相較下,有較高的風險...)

顯示Boot Image及設定檔的配置
dir


顯示組態設定
show config


顯示組態中的全部或某些區段設定
show config [all | facility]

facility可以是組態檔中的網態區段,例如ip,port,vlan,system,snmp等。


儲存組態檔
save config [all]

選擇性參數all用於將堆疊中的所有switch一起儲存設檔檔


將目前組態另存新檔
show config outfile configs/{File Name}

其實是透過show config將組態輸出到configs路徑下的檔案


複製(備份)組態檔
copy configs/mycofig configs/test
copy configs/mycofig tftp://192.168.10.10/mycofig


清除組態
clear config [all]

選擇性參數all用於將堆疊中的所有switch一起清除組態。

另外,clear config [all]並不會清除IP設定!
要清除IP請用clear ip address


套用(還原)組態檔
configure filename [append]

filename要打完整路徑,預設的組態檔是存放在configs目錄下,
所以要套用(還原)舊有組態檔,例如back.cfg時,需輸入以下指令。
configure configs/back.cfg。
而套用append參數,等於把filename組態檔中的內容增加到執行中的組態,此行為不會造成重開機;
若未套用append參數,則會提示重開機,重開機後把設定檔中內容引入。



重開機
reset [unit | cancel]

選擇性參數unit用於指定堆疊中的哪一台switch,
cancel則可取消reset at的重開機排程。


排程重開機
reset at hh:mm [mm/dd] [reason-string]


幾小時分鐘後重開機
reset in hh:mm [reason-string]


檢視重開機排程
show reset



不知道密碼的狀況下,回復出廠預設值
在不知道密碼的狀況下,要回復為出廠預設值只能透過console來進行。
接好console後開機,在operational code畫面,按下 2 後再按下 Enter 進入 Start Boot Menu

在密碼的部份輸入 administrator

登入Boot Menu後,選擇 Restore Configuration to factory defaults (delete config files) 選項,
然後再選擇 Reset the system 重開機,
重開機後即可回復到出廠預設值。


作者: shunze 發表時間: 2014-12-29, 16:09:

《分享》Enterasys Switch的LACP設定

將多個port合併為一個群組以達增加頻寬、容錯與failover等功能,為LACP的基本訴求。
Enterasys支援LACP與static兩種模式,而每台Switch支援的群組數與群組成員數量則視Switch型號而定,
以D2 Switch來說,它支援了6個群組,每組最多8個成員port。

合併為一個群組後,其合併端口代號變為lag.0.X
其中 X 為群組號碼,由1開始編號。

當然在串接時,兩端的Switch所用的協定要一致,
static就串static,LACP就串LACP,不可混用!
若另一端Switch port有設定LACP時,Enterasys在重開機後會自動識別,而建立起LACP群組予以對應。

群組與成員的對應採用admin key來識別。
群組與成員設定了相同admin key,即可自動建立群組關係。

以合併port 11,12為一群組lag.0.1,admin key 1020並加入VLAN 10的情境為例,
Static的設定如下。

set lacp enable
set lacp static lag.0.1
set lacp aadminkey lag.0.1 1020
set port lacp port ge.1.11-12 aadminkey 1020
set port lacp port ge.1.11-12 disable
set port vlan lag.0.1 10 modify-egress


同樣情境以LACP的設定如下。
set lacp enable
set lacp aadminkey lag.0.1 1020
set port lacp port ge.1.11-12 aadminkey 1020
set port lacp port ge.1.11-12 enable
set port vlan lag.0.1 10 modify-egress


兩者之間的差別在於static要特別指定static,且把成員port disable
而LACP則不用特別指定,且成員port需為enable


而在成員的刪除上,並沒有區分static/LACP,兩者使用相同指令。
clear lacp static <LagPortString> <Port-String>
clear lacp static lag.0.1 ge.1.11


從系統回應來看,就是把admin key清除,並把port恢復到預設的enable。


增加成員則跟建立lag group一樣,把admik key加回port上後,即建立了群組關係。
set port lacp port ge.1.11 aadminkey 1020
set port lacp port ge.1.11 [disable/enable]



欲刪除群組,其指令如下。
clear lacp static [lagportstring]
clear lacp static lag.0.1



檢視LACP可用以下指令。
show lacp {LagPortString}

不特別指定 LagPortString 的話,會顯示所有群組資訊。


要清楚知道port對應的LACP狀態,可用以下指令。
show port lacp port <Port-String> status detail


↑網路線未接上


↑網路線已接上

由ActorAdminkey來反查其所屬的群組(預設的Admin Key為32768);
或在網路線接上後,由AttachedAggID來進行識別。


除此之外,還可以透過show port status來查看port與lag的狀態。
show port status {Port-String}


Port 11,12組成一群組後,其status會顯示為dormant,而其群組lag.0.1會up起來,
同時頻寬會是群組成員的總合。


作者: shunze 發表時間: 2015-03-03, 18:19:

《分享》Spanning Tree與Loop Protect

Enterasys Switch預設是有啟用mstp版本的Spanning Tree Protocol。

若要變更STP旳啟用狀態,其指令如下。

set spantree <disable | enable>


查看STP設定如下。
show spantree stats [port Port-String] [sid sid] [active]



若欲變更STP版本,其指令如下。
set spantree version <mstp | rstp | stpcompatible>


查看STP版本指令如下。
show spantree version



若要針對某一port停用/啟用STP,其指令如下。
set spantree portadmin Port-String <disable | enable>


檢視port的STP狀態指令如下。
show spantree portadmin Port-String


↑第11 port是停用的。


基本上Enterasys Switch在預設條件下(MSTP預設為啟用),即有loop protect的效果。

在正常啟用STP狀態下,port state為Forwarding狀態,對應角色為Designated,允許封包正常發送。


若停用了STP,則port state會變為Manual Forwarding,並停止了port的角色判斷。


但在正常啟用STP的情況下,若某一port下層的Switch有loop,或是兩個port對接而形成loop,
STP會偵測到loop,並將形成loop的port的角色轉變為Backup,把封包給丟棄...

↑第6 port因有loop而discard封包。


另外,Enterasys還有以下指令,特別應用於loop protect。
set spantree lp port-string enable
show spantree lp

但很匪疑所思的是,順子下了這個指令,反倒是讓loop protect失效,完全發揮不了偵測loop進而block的效果。

這個指令要如何去運用?
順子現在還是不清楚...


作者: shunze 發表時間: 2015-07-15, 18:44:

《分享》封鎖特定MAC Address

如何在Enterasys Switch中封鎖特定的網卡號碼?
這個原本應該是很簡單的問題,卻被原廠manual給誤導了!

enterasys block mac address 幾個關鍵字去查,結果查到的是 set macblock 的功能,
一頭栽下去測了半天,才發現原來 set macblock 根本就是不是封鎖網卡的功能,
而是針對Enterasys的 MACLOCK 機制,去設定每一port所允許的網卡數,
藉以限制未認證、未同意使用的網卡無法於該port上正常使用。
跟我要的封鎖特定網卡是兩個完全是兩碼子事!


那如何在Enterasys Switch封鎖特定網卡呢?
基本上還是要透過ACL來做,
而Enterasys的ACL有一個不同的名稱,它叫做 Policy

如果您有架設NetSight,那麼透過Policy Manager來下達policy是一件簡單的事;
不過如果沒有NetSight,透過CLI來下達指令封鎖特定網卡也不是那麼難的事。


Enterasys的 Policy 可視為一個群組,
群組下實際運作的規則叫做
Rule
每一個policy可有多條rule包含在其中。
要讓Policy生效,最後還得把policy套用到要運作的
Port

以下就由順子來做個簡單的示範,
示範情境:將switch的第3 port (vlan 10),針對順子的網卡號碼 9C-EB-E8-01-EC-5B 進行封鎖。

  1. 先查出目前系統已用的 policy 數,指令如下。
    show policy profile all


    以本例來說,目前系統已有10個policy,那順子接下來要建的,就是第 11 條policy了。

  2. 建立 Policy 的指令如下。
    set policy profile <Profile-ID> name <Profile-Name> pvid-status [enable | disable] pvid <Vlan-ID>

    以順子的環境來說,指令如下。
    set policy profile 11 name "DENY-MAC" pvid-status enable pvid 10

    查看語法如下。
    show policy profile <Profile-ID>



  3. 建立規則 Rule 指令如下。
    set policy rule <Profile-ID> {ether | icmptype | ipproto | ipdestsocket | ipsourcesocket | iptos | macdest | macsource | tcpdestport | tcpsourceport | udpdestport | udpsourceport} <DATA> [mask MASK] {[vlan vlan] [cos cos] | [drop | forward]}

    要封鎖網卡 9C-EB-E8-01-EC-5B,其對應指令如下。
    set policy rule 11 macsource 9C-EB-E8-01-EC-5B mask 48 drop

    查看語法如下。
    show policy rule <Profile-ID>



  4. 最後將Policy套用在 Port 上,這樣就生效囉∼
    set policy port <Port-String> <Profile-ID>

    以順子的環境來說,指令如下。
    set policy port ge.1.3 11


  5. 若要清除switch上的 Policy ,其相關設定如下
    #清除rule
    clear policy rule <Profile-ID> {ether | icmptype | ipproto | ipdestsocket | ipsourcesocket | iptos | macdest | macsource | tcpdestport | tcpsourceport | udpdestport | udpsourceport} <DATA> [mask MASK]
    #清除port與policy對應
    clear policy profile <Profile-ID>
    #清除policy
    clear policy port <Port-String> <Profile-ID>

Powered by: Burning Board 1.1.1 2001 by WoltLab
Taiwan Translation by Achi