IP : 192.168.1.133

Localisation : Grenoble-02

Reboot électrique : PDU bas port 4, PDU haut port 5

Switch au dessus de oursin, décommissioné et éteint le 2 juin 2023

Reboot à distance

Contrôle d'alimentation en SSH, détails sur https://secure.edx-net.fr/private/ (même mot de passe que pour se connecter en web)

Hint : si SSH râle, rajouter la config suivante à ~/.ssh/config :

Host *.edx-net.fr
    Ciphers +3des-cbc
    KexAlgorithms diffie-hellman-group1-sha1

Matériel

Cisco Nexus 3000 C3064PQ Chassis

  • 48 ports SFP+ 10G
  • 4 ports 40G
  • Version NxOS : 7.0(3)I5(1)
  • Version BIOS : 3.8.0
  • Version kickstart : 6.0(2)U6(??)

Administration

Accessible en SSH :

  • via mgmt0 (port RJ45 derrière) : 192.168.1.132
  • sur le VLAN d'admin : 192.168.1.133
  • login : admin
  • mot de passe : dans pass

Configuration

Configuration initiale

Autoriser le switch à avoir une IP sur une interface VLAN :

feature interface-vlan

Pour dire au switch d'accepter n'importe quel type de SFP :

service unsupported-transceiver

Par defaut le switch a des règles anti-ddos sur le 'control plane'. C'est à dire qu'il se permet de droper des paquets à destination de l'ip de managment. On s'en est rendu compte car nos graphes de monitoring avait des trous. Il s'agit de ce qui est appelé 'copp'. Les commandes utiles :

# pour voir des paquets sont droppés
sh policy-map interface control-plane

# pour modifier les classes
conf t
policy-map type control-plane copp-system-policy
class copp-s-arp
police pps 6000
class copp-s-l2switched
police pps 6000

Pour que le 1Gb fonctionne il faut forcer en speed 1000, sinon le sfp est considéré comme invalid :

conf t
interface Ethernet1/XX
speed 1000

Configuration VLAN

Créer un VLAN :

conf t
vlan 42

Pour un port trunk (avec un éventuel VLAN natif) :

conf t
interface Ethernet1/XX
switchport mode trunk
switchport trunk native vlan 200
switchport trunk allowed vlan 200 201

Pour un port access :

conf t
interface Ethernet/XX
switchport mode access
switchport access vlan 200

Attention : en mode access, le VLAN doit exister avant, sinon le switch n'essaiera même pas de monter le port ! Perte de temps garantie...

Spanning tree

Désactiver complètement spanning-tree sur un ou des VLAN :

conf t
no spanning-tree vlan 200-210

Pour passer un port en mode "port fast", pour que STP active le port plus rapidement :

conf t
interface eth1/XX
spanning-tree port type edge trunk

Pour désactiver complètement spanning-tree sur un port :

conf t
interface eth1/XX
spanning-tree port type edge trunk
spanning-tree bpduguard enable
spanning-tree bpdufilter enable

Sauvegarde de la configuration

Pour sauvegarder la conf :

copy running-config startup-config