Настройка Extreme Networks x440, x450 + RADIUS Windows NPS
![](https://habrastorage.org/webt/5h/kx/ux/5hkxuxi6ovyx8of2hst8wd4g2ow.jpeg)
Конфигурирование будем проводить на примере модели x440, рекомендую для удобства открыть блокнот и вставлять в него команды.
Для начала прокинем Vlan, установим Ip и имя коммутатора:
create vlan MGM_Switches tag 25 #в моём случае vlan 25
configure vlan "MGM_Switches" add ports 24 tagged
configure vlan "MGM_Switches" ipaddress 10.25.0.200 255.255.255.0
configure iproute add default 10.25.0.1
configure snmp sysName Extreme-x440-M2-F2-Reni
После этого можем обновить прошивку.
В связи с санкциями сайт Extreme не даёт возможности скачать прошивку, поэтому её можно будет взять тут.
Ещё мы сделаем интеграцию с RADIUS настроенном на Windows NPS.
В примере буду использовать Tftpd by Ph. Jounin (скачать) для Windows.
Настройка его проста, в Current Directory указываем путь для размещения файлов, в Server interfaces указываем на каком сетевом интерфейсе будет доступен TFTP сервер.
![](https://habrastorage.org/webt/hp/jy/pp/hpjyppkxo7zwuavdk2ptr-m6eay.png)
На сегодняшний день актуальная версия для x440:
- 16.2.5.4 patch1-30
Узнать текущую версию прошивки можно следующей командой:
sh version
sh system
У данных коммутаторов два загрузчика primary и secondary соответственно, с помощью приведённых ранее команд можно определить, какая прошивка сейчас загружается. В нашем примере основной загрузчик secondary. Сейчас мы загрузим прошивку в primary и будем её использовать.
Extreme-x440-M2-F2-Reni.2
# sh switch
SysName: Extreme-x440-M2-F2-Reni
System Type: X440-24t
SysHealth check: Enabled (Normal)
Recovery Mode: All
System Watchdog: Enabled
Current State: OPERATIONAL
Image Selected: secondary
Image Booted: secondary # ЗДЕСЬ ИСПОЛЬЗУЕТСЯ ВТОРОЙ ЗАГРУЗЧИК
Primary ver: 16.2.5.4
patch1-30
Secondary ver: 16.1.3.6
Config Selected: primary.cfg
Config Booted: primary.cfg
primary.cfg Created by ExtremeXOS version 16.1.3.6
201712 bytes saved on Mon Dec 26 18:42:08 2022
Указываем загрузку коммутатора с новой прошивкой, копируем текущую конфигурацию в загрузочную и перезагружаем коммутатор:
sh version
sh system
download image 10.10.0.50 summitX-16.2.5.4-patch1-30.xos vr "VR-Default" primary
yes
use configuration primary
use image primary
reboot
Настройка SSH и Radius:
enable ssh2
yes
# указываем ip сервера, ip данного switch'а
configure radius mgmt-access primary server 10.20.0.254 1812 client-ip 10.25.0.200 vr VR-Default
# указываем пароль для Радиуса
configure radius mgmt-access primary shared-secret Your-Secret-Pass
enable radius mgmt-access
Настройка защиты от колец elrp:
enable elrp-client
configure elrp-client periodic for_new_smu ports all interval 1 log disable-port ingress duration 30
configure elrp-client periodic M_2 ports all interval 1 log disable-port ingress duration 30
configure elrp-client periodic Voice_Vlan ports all interval 1 log disable-port ingress duration 30
configure elrp-client disable-ports exclude 24
show elrp - просмотр состояния работы функции
show elrp disabled-ports - просмотр информации об отключенных портах
Настройка защиты от DHCP snooping:
configure trusted-ports 24 trust-for dhcp-server
configure trusted-servers vlan M_2 add server 10.10.0.1 trust-for dhcp-server
enable ip-security dhcp-snooping "M_2" ports all violation-action drop-packet block-port duration 30
disable ip-security dhcp-snooping vlan M_2 port 24
Настройка NTP client, storm-control, stp, community:
disable web http
disable stpd
configure timezone 420 noautodst
configure sntp-client primary 10.20.0.2 vr VR-Default
configure sntp-client sec 82.200.70.50 vr "VR-Default"
enable sntp-client
configure port 1-23 rate-limit flood broadcast 2000
configure port 1-23 rate-limit flood multicast 2000
#отключаем SNMP public и включаем наш, в нашем случае это "siberian-v2"
enable snmp access
configure snmp delete community readonly public
configure snmp add community readonly siberian-v2
#указываем snmp сервер
configure snmp add trapreceiver 10.20.0.210 community siberian-v2
disable telnet
Итак, мы добрались до RADIUS авторизации. Теперь нам потребуется зайти на Windows сервер и установить роль «Сервер политики сети» NPS.
Сначала нужно включить сервис и зарегистрировать его в домене:
![](https://habrastorage.org/webt/e-/gr/ky/e-grkygsoq0fuzxtgg0ah4nfvvq.png)
![](https://habrastorage.org/webt/rk/tm/cq/rktmcqw8zb59zen087xdabusloc.png)
Создаём единый шаблон с ключом для всех Extreme Networks:
![](https://habrastorage.org/webt/su/3q/cq/su3qcqqjwgeancl1ucwpfg0quvw.png)
Теперь создаём клиента, который будет подключаться к серверу RADIUS:
![](https://habrastorage.org/webt/lg/ye/_s/lgye_smzcivrycynu2j1ol__yca.png)
![](https://habrastorage.org/webt/pc/bv/tg/pcbvtgbodnptmhlkabqa0da3spw.png)
Далее переходим в политику и создаём политику для авторизации. У нас будут уровни доступа, организованные на группах AD. Это группа для изменения конфигурации и группа для чтения конфигурации. Чтение конфига нам потребуется для автоматического бэкапа. Бэкап будем осуществлять через oxidized, об этом я напишу в следующей статье.
![](https://habrastorage.org/webt/q6/b_/nb/q6b_nbt5kgma2vu3cz7dpsowz5i.png)
Создали политику и указали группу, которая сможет делать изменения на свитчах:
![](https://habrastorage.org/webt/bb/kh/uv/bbkhuvhf5xauy6lhu-t76ylhqrm.png)
![](https://habrastorage.org/webt/vc/yg/sf/vcygsfmvigv3px--tgllxskgmpa.png)
![](https://habrastorage.org/webt/x2/px/lv/x2pxlv8u8haksqqqc8qiqqxws3k.png)
Указываем привилегию для редактирования конфигурации (указываем максимальные права доступа):
![](https://habrastorage.org/webt/cm/uu/kl/cmuukltbc-uy5nswk3wlacbs2fg.png)
Привязываемся к вендору:
![](https://habrastorage.org/webt/9q/z3/cd/9qz3cdggqnt2vtmrk0argmllnls.png)
Далее создаём вторую политику для группы только на чтение.
![](https://habrastorage.org/webt/vb/or/v_/vborv_kyoxcwp42wbjplwnuukq0.png)
![](https://habrastorage.org/webt/5h/ug/to/5hugtov0iv6jwcbmd_wacxtogvk.png)
![](https://habrastorage.org/webt/56/jn/wq/56jnwq4pywvotyummefosk6osjc.png)
![](https://habrastorage.org/webt/dh/vd/05/dhvd05o1p-rxzebp1ywwcdfyni4.png)
![](https://habrastorage.org/webt/xu/ml/n4/xumln4ptn7nyo9wfcw97hze9bho.png)
Авторизация готова, можно проверить подключение по SSH через доменную учётку.
Если есть ошибки, то нужно смотреть логи на NPS сервере по пути:
«C:\Windows\System32\LogFiles».
Если возникает ошибка
Error: IP address 10.25.0.96 is not configured in virtual router «VR-Default» for server Primary Mgmt-Access.
Также следует понимать, что большинство конфигураций настраивается на VLAN. То есть в XOS почти все привязано к VLAN’ам. Даже назначение VLAN на порт происходит в настройке VLAN, то есть порт вешается на vlan.
Особое внимание хочется уделить виртуальным маршрутизаторам (VR), которые есть по умолчанию в коммутаторе. Есть VR-Default, которому принадлежат все порты, и VR-mgmt, которому принадлежит mgmt. порт. В XOS для всех команд, которые куда-то отправляют трафик (ping, ssh, telnet, download, etc.) необходимо указывать VR.
Источник: kslift.ru/nastroyka-extreme-summit-x440
Список литературы:
- disnetern.ru/how-to-upgrade-exos
- aminux.wordpress.com/2012/04/03/extreme-networks
- xgu.ru/wiki/ExtremeXOS
- community.extremenetworks.com/discussion/radius-authentication-configuring-switch-x440-as-a-client-in-nps-windows-server-2008-enterprise
- extremeportal.force.com/ExtrArticleDetail?an=000074221
- shop.nag.ru/article/spiski-kontrolya-dostupa-v-kommutatorah-extreme
- disnetern.ru/extremexos
- www.smartreport.eu/monitoring-support/how-to/enable-snmp-protocol-on-extreme-networks-switches