spanning tree et boucle sur switch - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 03-11-2009 à 17:02:23
Pourrais-tu développer un peu ton explication stp, car pour le moment je vois comment ca fonctionne dans le cas de liens redondants entre équipements, mais pas dans le cas présent.
Merci
Marsh Posté le 03-11-2009 à 17:12:52
Bah tu tapes spanning tree dans google et tu vas trouver toute la doc dont tu as besoin. Ca pullule.
Autant pour le rstp/mstp c'est pas simple de trouver une info complète autant sur le stp ya tout (ne serait ce que sur wikipedia)
Marsh Posté le 05-11-2009 à 09:47:53
il faudrait pas plutôt chercher du coté de port-security ?
tu réduis le nombre de mac sur chaque port utilisateur ou il y'a un risque, et le port se coupera automatiquement en cas de boucle.
Marsh Posté le 05-11-2009 à 09:53:31
non.
Marsh Posté le 05-11-2009 à 11:29:44
pour développer la réponse de dreamer, non le port se coupera pas automatiquement en cas de boucle. Tu peux très bien faire une boucle avec 1 seul PC sur ton réseau. le port sécurity ne verra alors qu'une seul MAC mais le réseau tombera par la boucle. Le port sécurity est donc plus utile pour eviter l'ajout de switch ou hub sauvage.
Le spanning tree est exactement fait pour ce genre de problème.
Marsh Posté le 05-11-2009 à 12:36:38
Oki, donc mettre en place du spanning-tree, avec du loopguard.
Marsh Posté le 05-11-2009 à 13:08:04
nono61984 a écrit : Tu peux très bien faire une boucle avec 1 seul PC sur ton réseau. le port sécurity ne verra alors qu'une seul MAC mais le réseau tombera par la boucle. |
il s'agit d'un cas particulier ? à partir de 2 pcs, le port-security répond bien à la demande initiale (empêcher des boucles utilisateurs)?
Marsh Posté le 05-11-2009 à 16:22:57
mais vous comprenez rien ???
spanning-tree. Quelque soit la versoin. POINT FINAL.
Tous les autres bricolages sont à proscrire, ou a appliquer soi on comprend ce qu'on fait, ce qui m'a l'air d'ete le cas de peu de monde ici ! (loopguard, portsecurity ...)
Une boulce n'a rien à voir avec la saturation d'un port .. une boucle tue 100% du réseau (j'ai vu une MSFC2 crasher en 10 sec grâce à une boucle L2).
Marsh Posté le 05-11-2009 à 16:36:47
10 secondes, elle a tenue longtemps
sinon il faut être gentil et pédagogique avec les newbies
Marsh Posté le 05-11-2009 à 16:59:19
en fait, c'était des msfc2 en rpr+ ... et 10sec c'é&tait le temps que la primaire switches sur la secondaire, et que la secondaire se vautre .. mais c'est une autre histoire ...
Une histoire de trunk qui en montant a activé un vlan sans activer le stp - justement - le support cisco n'a jamais eu de réponse hormis"pas de bol"
Marsh Posté le 05-11-2009 à 18:59:27
trictrac a écrit : mais vous comprenez rien ??? |
ah ben là c'est sûr c'est tout de suite plus clair
je comprends si on prend la peine d'expliquer. Cisco dit (vous voyez, en plus je fais des recherches) :
"The main purpose of STP is to ensure that you do not create loops when you have redundant paths in your network"
cad, fait pour gérer les boucles dans un environnement avec des liens redondés.
Ne considérant pas que les boucles faites par les utilisateurs le sont pour renforcer le réseau, je n'en déduis pas que stp est la réponse unique à toutes les formes de boucles (j'ai pas dit que c'était faux hein! )
Donc je repose la question: pourquoi un port-security sur tous les ports utilisateurs n'est pas une solution viable ?
Du coup en stp, on active le portfast sur ces mêmes ports ?
Marsh Posté le 05-11-2009 à 19:13:17
wikipedia première phrase : The Spanning Tree Protocol (STP) is a link layer network protocol that ensures a loop-free topology for any bridged LAN.
Sinon port security n'a aucun rapport avec la gestion des boucles (mais plutôt le spoofing de mac address)
Marsh Posté le 06-11-2009 à 11:28:40
>tonio2k
Pour répondre à tes interrogations sa fonction peut donc être "double":
-éviter les boucles accidentelles (en bloquant automatiquement un des liens).
-Mettre en place des liens redondants (des boucles en fait... ce qui revient au même que le premier point).
Marsh Posté le 06-11-2009 à 13:48:50
Merci,
je comprend bien la double utilité de stp, et si j'ai bien compris le fonctionnement, je pense même qu'il y'a une erreur dans la configuration de nos switchs.
ça n'a pas de sens d'activer sur un port pc en portfast à la fois bpdufilter et bpduguard ? en théorie, vu qu'il y'a bpdufilter enable sur les deux ports qu'on boucle, les ports resteront en forwarding car pas de detection de bpdu pour qu'ils puissent passer en blocked.
En pratique, je teste sur un 3560, et ça fait effectivement sapin de noël avec bpdufilter enable, mais un port-security me résoud le problème en shuttant les ports (psecure-violation error detected ... err-disable state).
Donc la conclusion serait, j'ai de la chance que ça marche car c'est pas la bonne façon de faire ?
un port pc serait juste config en:
spanning-tree portfast
spanning-tree bpduguard enable
?
question subsidiaire, à quoi sert le bpdufilter du coup ? uniquement pour les ports sur lesquels on est sur de pas avoir de boucles accidentelles (genre serveur) ?
Marsh Posté le 06-11-2009 à 14:38:50
le bpdufilter c'est pour désactiver le STP sur un lien au lieu de le désactiver sur un vlan. En plus le comportement de bpdufilter n'est pas le même en fonction de si tu l'appliques sur l'interface et s'il est associé en global au portfast.
Tu peux rajouter le port security et le storm control si ça te chante hein
Sinon pour brancher des pc ta conf est bonne.
Marsh Posté le 03-11-2009 à 16:41:21
Bonjour,
Je souhaiterais en savoir un peu plus sur le spanning tree, car pour moi il est utile dans le cas ou l'on utilise des équipements redondés. Je suis dans un cas avec un 3750 en coeur de réseau et deux 3548 pour les utilisateurs. Il n'y a pas de redondance entre ces équipements, mais je voudrais savoir si le faite de mettre du spanning tree permettrait d'éviter que le réseau tombe si par exemple une boucle est créée sur l'un des équipement. Car ce cas est arrivé et je voudrais éviter qu'il se reproduise.
Cordialement