4 réponses
Papiquo
Messages postés
78
Date d'inscription
vendredi 7 septembre 2012
Statut
Membre
Dernière intervention
26 mars 2014
5
15 mars 2013 à 11:17
15 mars 2013 à 11:17
Bonjour,
Il est important, sur un switch, de distinguer de types de ports :
- Les ports dits d'accès (switchport mode access)
- Les ports d'interconnection entre équipements actifs (switchport mode trunk)
Les switchs, pour construire la topologie du réseau (au sens spanning-tree - c'est à dire le réseau logique, différent du réseau physique), émettent des trames BPDU (bridge protocol data unit - trames 802.1d). Ces trames ne doivent être émises que sur les ports d'interconnection entre switchs. Si vous reliez deux switchs via un port access, cela pose un problème de boucle. Pour résoudre ce problème, il faut empêcher les ports access de recevoir ces trames. La bonne pratique est donc d'activer les commandes suivantes :
- Spanning-tree portfast (supprime les étapes listening et learning donc temps de convergence plus rapide)
- Spanning-tree bpduguard enable (passe le port en errdisable si il reçoit une trame BPDU)
- Spanning-tree bpdufilter enable (empêche le port d'envoyer une trame BPDU)
Cdlt,
Papiquo
Il est important, sur un switch, de distinguer de types de ports :
- Les ports dits d'accès (switchport mode access)
- Les ports d'interconnection entre équipements actifs (switchport mode trunk)
Les switchs, pour construire la topologie du réseau (au sens spanning-tree - c'est à dire le réseau logique, différent du réseau physique), émettent des trames BPDU (bridge protocol data unit - trames 802.1d). Ces trames ne doivent être émises que sur les ports d'interconnection entre switchs. Si vous reliez deux switchs via un port access, cela pose un problème de boucle. Pour résoudre ce problème, il faut empêcher les ports access de recevoir ces trames. La bonne pratique est donc d'activer les commandes suivantes :
- Spanning-tree portfast (supprime les étapes listening et learning donc temps de convergence plus rapide)
- Spanning-tree bpduguard enable (passe le port en errdisable si il reçoit une trame BPDU)
- Spanning-tree bpdufilter enable (empêche le port d'envoyer une trame BPDU)
Cdlt,
Papiquo
Merci Paquito !
Si cette fois on considere que le spanning tree est correctement configuré, et que par megarde on relie deux ports access d'un même switch.
Mis à part les trame bpdu, il y a du trafic broadast qui peut arriver, y a t-il un moyen pour bloquer cette boucle ?
Si cette fois on considere que le spanning tree est correctement configuré, et que par megarde on relie deux ports access d'un même switch.
Mis à part les trame bpdu, il y a du trafic broadast qui peut arriver, y a t-il un moyen pour bloquer cette boucle ?
Papiquo
Messages postés
78
Date d'inscription
vendredi 7 septembre 2012
Statut
Membre
Dernière intervention
26 mars 2014
5
Modifié par Papiquo le 15/03/2013 à 12:18
Modifié par Papiquo le 15/03/2013 à 12:18
Très bonne question, à chaud je dirais d'enlever la commande bpdufilter. Ainsi, si on branche deux switchs sur un port access, les ports passeront en errdisable. Au passage, en faisant ça, on peut rajouter en commande globale :
- errdisable recovery cause bpduguard
Cette commande va rétablir le port au bout de 300sec (temps par défaut, modifiable). Si le problème n'est toujours pas réglé, le port repasse en errdisable. Cela permet d'éviter une action manuelle après avoir résolu le problème de boucle. Je t'invite à regarder les différentes possibilités de la commande errdisable recovery, cela offre des possibilités sympathique.
Pour ta question de broadcast, hormis cette solution de désactiver le bpdufilter, je creuse un peu pour voir ce cas et te redis.
EDIT : Je ne sais pas pourquoi je n'y ai pas pensé avant, mais tu peux bien sur activer la fonctionnalité de protection des tempêtes de broadcast.
Sur switch Cisco, tu ajoute sur tes interfaces la commande "torm-control broadcast level 10.00"
10% de broadcast est généralement ce que l'on met. Tu pourras donc laisser la commande bdpufilter
Cdlt,
Papiquo
- errdisable recovery cause bpduguard
Cette commande va rétablir le port au bout de 300sec (temps par défaut, modifiable). Si le problème n'est toujours pas réglé, le port repasse en errdisable. Cela permet d'éviter une action manuelle après avoir résolu le problème de boucle. Je t'invite à regarder les différentes possibilités de la commande errdisable recovery, cela offre des possibilités sympathique.
Pour ta question de broadcast, hormis cette solution de désactiver le bpdufilter, je creuse un peu pour voir ce cas et te redis.
EDIT : Je ne sais pas pourquoi je n'y ai pas pensé avant, mais tu peux bien sur activer la fonctionnalité de protection des tempêtes de broadcast.
Sur switch Cisco, tu ajoute sur tes interfaces la commande "torm-control broadcast level 10.00"
10% de broadcast est généralement ce que l'on met. Tu pourras donc laisser la commande bdpufilter
Cdlt,
Papiquo
