Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Défi Réseau 😉

Bonjour,

Tout d'abord, pour expliquer mon problème, je vous explique brièvement l'historique.
J'ai récemment eu la joie de récupérer un jolie gros "réseau" locale avec plein de switch "stacké" tous ensemble (aucun routeur dans le réseau, donc aucune passerelle de configurer) et en /22.

Il est réellement composé d'environ 700 matériels en tout genre (PC, Imprimante, Scanner, etc...). Donc tout ce matériel Broadcast joyeusement. (environ 80% du trafic sur les switchs est du braodcast...vous comprendrez mon inquiétude).

En sniffant le réseau, j'ai pu également constater que tous les switchs (a priori) fonctionnent en mode dégradé (Fail Open ou encore en mode "Hub").
Et oui tout le trafic (je parle pas du broadcast évidemment) se retrouve sur tous les ports. Donc je trouve qu'ils portent bien mal leur nom ces fameux switchs...

Ce qui m’emmène a ma première question et non la moindre: est-ce le fait que ce soit le fait d'avoir beaucoup trop de broadcast qui fait passer les switchs en hub si je puis dire ? J'ai vérifié les tables ARP et l'utilisation du CPU, et a priori, ce n'est pas une attaque de ces types la qui font basculer les switchs.
Première question bis, de la même façon, est-ce qu'un switch en mode Hub dans le réseau fait basculer les autres ou non ?

J'ai ma petite idée pour remettre (mettre plutôt) ce réseau d'aplomb. Je comptais fragmenter le réseau, faire plus de sous réseau selon les pôles, refaire les masques et mettre en place des passerelles (routeur), tant qu'a faire firewall également pour mettre un peu de sécurité la dedans. Sinon vu la topologie des locaux etc je pense que la fragmentation se fera plus a coup de switch plutôt que simplement de VLAN.

D'ou ma deuxième question face aux experts que vous êtes, il y a tellement de chose a faire que je dois surement en oublier, est-ce le cas?
Je suis preneur de tout conseil :p
Lu Manklyde,

Tu dis 80% du trafic, cela signifit certainement 80% de l'utilisation et pas 80% de la capacité.

Un switch qui fonctionne en mode HUB au lieu de Switch ne peut pas être du à la quantité de Broadcast. C'est très souvent du à :
- Soit un défaut des Switches (mais il y en a plusieurs et donc la probabilité est faible)
- Soit à une table d'adresse MAC saturé ce qui est plutôt problable suite à la lecture de ton post. Pour controler, il te faut la capacité théorique de tes switches et le nombre effectif réel en production.

Non, un switch ne fait pas basculer un autre switch en mode HUB.

N'utilise pas le mot fragmentation, il n'est pas approprié dans ton contexte. Si je comprend bien, au lien de faire des VLAN, tu veux séparer physiquement tes switches. Si c'est le cas, alors cela résoudra certainement ton soucis (dans le cas du problème du nombre d'adresse MAC).

@+

_SebF
_SebF - Sébastien FONTAINE
Salut et merci de ta réponse,

Oui j'utilise surement pas les bon mots, désolé.

Donc je parlais en effet de l'utilisation.

Par contre j'ai vérifié les tables MAC des switchs, aucune n'est saturé, a moins qu'elle se vide et encore que partiellement (vu qu'il reste des macs dans la table), après que le switch est basculé en hub...

Le max que j'ai pu voir c'est une 500aine de mac sur plus de 16000 entrée disponible. Et l'utilisation des CPU des Switchs ne dépasse pas les 30%.
J'ai lu que c'est ces deux types d'attaque qui pouvaient faire basculer un switch en hub alors je comprends pas. J'suis vraiment un newbie en switch lol

Pour précision, en rebootant un switch de test et sans le "stacker" avec les autres, il se comporte normalement. Il suffit de le brancher aux autres pour qu'il mette pas plus de 10sec a basculer en hub...

Il existe pas d'autre manière de faire basculer un switch en Hub ? Une commande qu'un "ver" (worms/trojan/virus) pourrait envoyer par SNMP ou ce genre de chose ?
Lu Manklyde,

Ma remarque sur les bons mots est uniquement pédagogique.

Si tu valide que la table MAC n'est pas saturé, alors c'est peux être un problème de paramétrage du tes Switches.

C'est quoi ?

@+

_SebF
_SebF - Sébastien FONTAINE
C'est principalement du 3COM 5500, EI et GEI.

Vu que j'ai récupéré le réseau comme ça, la première chose que j'ai fais ,c'est de mettre à jour tous les firmware et remettre une conf pas défaut, téléchargé sur le net sur le site de HP (et oui ils ont racheté 3COM)

Apres peut être que la table ARP se vide et que partiellement une fois qu'il passe en hub mais bon ça me paraîtrai surprenant. Apres tout, j'y connais pas grand chose en switch.

Voici un fichier de config type :

#28-port 3com
#3Com switch 5500
fabric member-auto-update software enable
#
private-group-id mode standard
#
local-server nas-ip 127.0.0.1 key 3com
#
domain default enable system
#
igmp-snooping enable
#
undo password-control aging enable
undo password-control length enable
undo password-control history enable
#
queue-scheduler wrr 1 2 3 4 5 9 13 15
#
radius scheme system
#
domain system
#
local-user admin
service-type ssh telnet terminal
level 3
local-user manager
password simple manager
service-type ssh telnet terminal
level 2
local-user monitor
password simple monitor
service-type ssh telnet terminal
level 1
#
acl number 3997
rule 0 permit ip dscp ef
rule 1 permit tcp destination-port eq www
rule 2 permit udp destination-port eq snmp
rule 3 permit udp destination-port eq snmptrap
rule 4 permit ip dscp cs6
rule 5 permit ip dscp cs7
#
acl number 4999
rule 0 permit type 8868 ffff
rule 1 permit source 00e0-bb00-0000 ffff-ff00-0000
rule 2 permit source 0003-6b00-0000 ffff-ff00-0000
rule 3 permit source 00e0-7500-0000 ffff-ff00-0000
rule 4 permit source 00d0-1e00-0000 ffff-ff00-0000
rule 5 permit source 0001-e300-0000 ffff-ff00-0000
rule 6 permit source 000f-e200-0000 ffff-ff00-0000
rule 7 permit source 0060-b900-0000 ffff-ff00-0000
rule 8 deny dest 0000-0000-0000 ffff-ffff-ffff
#
qos-profile default
packet-filter inbound link-group 4999 rule 8
traffic-priority inbound ip-group 3997 rule 0 cos voice
traffic-priority inbound ip-group 3997 rule 4 cos network-management
traffic-priority inbound ip-group 3997 rule 5 cos network-management
traffic-priority inbound link-group 4999 rule 0 dscp ef cos voice
traffic-priority inbound link-group 4999 rule 1 dscp ef cos voice
traffic-priority inbound link-group 4999 rule 2 dscp ef cos voice
traffic-priority inbound link-group 4999 rule 3 dscp ef cos voice
traffic-priority inbound link-group 4999 rule 4 dscp ef cos voice
traffic-priority inbound link-group 4999 rule 5 dscp ef cos voice
traffic-priority inbound link-group 4999 rule 6 dscp ef cos voice
traffic-priority inbound link-group 4999 rule 7 dscp ef cos voice
#
vlan 1
igmp-snooping enable
#
interface Vlan-interface1
ip address dhcp-alloc
#LOCCFG. MUST NOT DELETE
#
interface Aux1/0/0
#
interface Ethernet1/0/1
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/2
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/3
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/4
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/5
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/6
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/7
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/8
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/9
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/10
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/11
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/12
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/13
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/14
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/15
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/16
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/17
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/18
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/19
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/20
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/21
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/22
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/23
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface Ethernet1/0/24
poe enable
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface GigabitEthernet1/0/25
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface GigabitEthernet1/0/26
stp edged-port enable
broadcast-suppression PPS 3000
undo jumboframe enable
apply qos-profile default
priority trust
#
interface GigabitEthernet1/0/27
#
interface GigabitEthernet1/0/28
#TOPOLOGYCFG. MUST NOT DELETE
#
undo xrn-fabric authentication-mode
#GLBCFG. MUST NOT DELETE
#
interface NULL0
#
voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 description Siemens AG phone
voice vlan mac-address 0060-b900-0000 mask ffff-ff00-0000 description Philips and NEC AG phone
voice vlan mac-address 0004-0d00-0000 mask ffff-ff00-0000 description Avaya phone
voice vlan mac-address 0015-2b00-0000 mask ffff-ff00-0000 description Cisco 7940 phone
voice vlan mac-address 0013-1900-0000 mask ffff-ff00-0000 description Cisco 7960 phone
#
snmp-agent
snmp-agent community read public
snmp-agent community write private
snmp-agent sys-info version all
#
user-interface aux 0 7
authentication-mode scheme
screen-length 22
user-interface vty 0 4
authentication-mode scheme
#
return



C'est vraiment des sacrés phenomenes ces switchs...à ni rien comprendre lol
La semaine prochaine, je mets en place des routeurs entre les switchs et refait les masques de sous-reseau des équipements pour voir quand même si ce trop plein de broadcast ne provoque pas des comportements bizarre des switchs.
Tiens nous au courrant 🙂
_SebF - Sébastien FONTAINE
J’hésiterai pas, on sait jamais si je trouve quelque chose, ça peut toujours servir a quelqu'un d'autre.

En tout cas, merci de t’être pencher sur le problème, si une idée brille ou que quelqu'un a déjà vu ce phénomène, je suis toujours preneur 😉
salut,

Tous les switches floodent les trames dont ils ne trouvent pas l'adresse MAC de destination dans leur table MAC et les entrées dynamiques dans la table MAC ont une durée de vie limitée donc le comportement que tu observes est certainement un comportement normal.