A voir également:
- Pourquoi ne faut-il jamais faire de boucle sur des switchs ?
- Xiaomi s'éteint tout seul et se rallume en boucle - Forum Xiaomi
- Mise à disposition de boucle locale dédiée ✓ - Forum Freebox
- Brancher switch sur pc ✓ - Forum Nintendo Switch
- Brancher switch sur tv sans socle - Forum Nintendo Switch
2 réponses
brupala
Messages postés
110731
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
2 janvier 2025
13 883
14 juin 2007 à 02:04
14 juin 2007 à 02:04
bah,
question 1:
ce sont tous les mécanismes de spanning-tree qui sont destinés à éliminer les boucles dans un réseau de switchs /ponts avec fonctionnalités fast ...
question 2:
bah en mettant des vlans par port, ils peuvent toujours changer leur adresse mac ...
question 3:
non, les vlans par protocole (adresse ip) sont définitivement incompablies avec dhcp: comment affecter à un vlan par ip une machine qui n'a pas d'adresse ip ?
et l'adresse ip est affectée en fonction de l'adresse ip de relais dhcp , donc ça se mord la queue pas d'issue avec les protocoles d'aujourd'hui.
question 1:
ce sont tous les mécanismes de spanning-tree qui sont destinés à éliminer les boucles dans un réseau de switchs /ponts avec fonctionnalités fast ...
question 2:
bah en mettant des vlans par port, ils peuvent toujours changer leur adresse mac ...
question 3:
non, les vlans par protocole (adresse ip) sont définitivement incompablies avec dhcp: comment affecter à un vlan par ip une machine qui n'a pas d'adresse ip ?
et l'adresse ip est affectée en fonction de l'adresse ip de relais dhcp , donc ça se mord la queue pas d'issue avec les protocoles d'aujourd'hui.
merci brupala pour tes reponses
si je comprend bien ta reponse sur ma question 2 (dans le cas des vlans par mac), tu veux dire qu'il n'y a vraiment pas de solution pour empecher qu'un user ,qui fait du spoofing d'adresse mac , passe d'un vlan à un autre ?
surtout ne prenez pas mal mes questions les gars, c'est parce que je prepare un exposé dessu, et je ne voudrai pas etre surpri par des telles questions, voila pourquoi j'anticipe. car il se pourait qu'en exposant sur les differents types de vlans, certains collegues voudrai bien que je leur dise comment eviter qu'un user passe d'un vlan à un autre en faisant du spoofing d'adresse mac (pour le ca vlan par mac).
et concernant le spanning tree c'est l'unique solution qui existe ou il y'a d'autres solutions ?
merci encore pour tes reponses
si je comprend bien ta reponse sur ma question 2 (dans le cas des vlans par mac), tu veux dire qu'il n'y a vraiment pas de solution pour empecher qu'un user ,qui fait du spoofing d'adresse mac , passe d'un vlan à un autre ?
surtout ne prenez pas mal mes questions les gars, c'est parce que je prepare un exposé dessu, et je ne voudrai pas etre surpri par des telles questions, voila pourquoi j'anticipe. car il se pourait qu'en exposant sur les differents types de vlans, certains collegues voudrai bien que je leur dise comment eviter qu'un user passe d'un vlan à un autre en faisant du spoofing d'adresse mac (pour le ca vlan par mac).
et concernant le spanning tree c'est l'unique solution qui existe ou il y'a d'autres solutions ?
merci encore pour tes reponses
brupala
Messages postés
110731
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
2 janvier 2025
13 883
14 juin 2007 à 19:50
14 juin 2007 à 19:50
le spanning tree ... sur un réseau bridgé ou switchs L2 : oui, pas autre chose .
si réseau de routeurs ou switchs L3 ,
pas de problème les boucles sont naturelles et sont gérées par les protocoles de routage .
si on veut sécuriser un réseau en faisant des boucles il faut les réaliser au niveau 3 (routage) éviter au niveau 2 à cause des nombreuses imperfections du spanning tree.
si réseau de routeurs ou switchs L3 ,
pas de problème les boucles sont naturelles et sont gérées par les protocoles de routage .
si on veut sécuriser un réseau en faisant des boucles il faut les réaliser au niveau 3 (routage) éviter au niveau 2 à cause des nombreuses imperfections du spanning tree.
brupala
Messages postés
110731
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
2 janvier 2025
13 883
>
cerco
14 juin 2007 à 22:25
14 juin 2007 à 22:25
le spoofing c'est un contournement et ne correspond en aucun cas à un fonctionnement normal.
il n' apporte d'ailleurs pas grand chose sur un plan pratique :
que va faire le switch avec la même adresse mac sur deux ports différents ?
en choisir un une fois sur deux ? uniquement le plus récent ? le plus ancien ? aucun des deux ? les deux en même temps (pas normal: duplication de trame) ?
en fait le spoofing d'adresses mac n'est (un peu) efficace que si une des deux adresses n'est pas connectée ou si les deux sont connectées sur le même port .
il convient donc de prohiber les hubs et PA wifi tout ce qui permet de connecter plusieurs machine sur le même port switch.
aussi:
une implémentation globale de l'authentification 802.1x est une partie de la solution au problème (assez marginal) .
il n' apporte d'ailleurs pas grand chose sur un plan pratique :
que va faire le switch avec la même adresse mac sur deux ports différents ?
en choisir un une fois sur deux ? uniquement le plus récent ? le plus ancien ? aucun des deux ? les deux en même temps (pas normal: duplication de trame) ?
en fait le spoofing d'adresses mac n'est (un peu) efficace que si une des deux adresses n'est pas connectée ou si les deux sont connectées sur le même port .
il convient donc de prohiber les hubs et PA wifi tout ce qui permet de connecter plusieurs machine sur le même port switch.
aussi:
une implémentation globale de l'authentification 802.1x est une partie de la solution au problème (assez marginal) .