Bridge qui crée une boucle

Le
Jérémie
Bonjour à tous,

Après mon topic "Deux passerelles", j'ai mis en place la solution
proposée, et tout semblait OK jusqu'à ce que le réseau commence à ramer
sévère, jusqu'à complètement s'écrouler.

En scrutant mes logs, j'ai remarqué les messages suivants étaient
récurrents :
eth0 : received own address as source address
eth1 : received own address as source address

je penche donc pour une boucle, mais je n'arrive pas à trouver comment
la supprimer.
Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en
fond pour trouver une activité suspecte. Ce pont relie un switch sur
lequel est greffé tout le réseau à un modem-routeur. Le switch possède
aussi sa propre connexion vers le routeur, directement :

eth1 switch
______+++++++++________ lan
/ |
br0 |
______+++++++++________ lan
eth0 routeur


Je ne m'y connais pas assez en bridging pour supprimer cette boucle,
auriez-vous des conseils ?

Merci d'avance,


Jérémie
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #18082561
Salut,

Jérémie a écrit :

je penche donc pour une boucle, mais je n'arrive pas à trouver comment
la supprimer.
Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en
fond pour trouver une activité suspecte. Ce pont relie un switch sur
lequel est greffé tout le réseau à un modem-routeur. Le switch possède
aussi sa propre connexion vers le routeur, directement :

eth1 switch
______+++++++++________ lan
/ |
br0 |
______+++++++++________ lan
eth0 routeur




Pour une belle boucle, c'est une belle boucle.

Je ne m'y connais pas assez en bridging pour supprimer cette boucle,
auriez-vous des conseils ?



Ouais, un : supprimer la liaison directe entre le switch et le routeur.
A quoi sert-elle au juste ? Cette liaison est comme un court-circuit, je
ne comprends même pas comment la capture de trafic sur le pont peut être
fiable avec une telle topologie.

Pour éviter les boucles normalement il faut activer le protocole STP
(spanning tree) sur tous les switches du réseau, y compris le switch
intégré au routeur et le pont Linux (cf. brctl). Mais le résultat est
que les switches empêchent les boucles en coupant certains de leurs
ports, et du coup la capture risque de moins bien marcher.
Pascal Hambourg
Le #18082551
Jérémie a écrit :
Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en
fond pour trouver une activité suspecte. Ce pont relie un switch sur
lequel est greffé tout le réseau à un modem-routeur. Le switch possède
aussi sa propre connexion vers le routeur, directement :

eth1 switch
______+++++++++________ lan
/ |
br0 |
______+++++++++________ lan
eth0 routeur




Un détail que je ne comprends pas : pourquoi y a-t-il deux branches LAN,
une sur le switch et une sur le routeur ?
Jérémie
Le #18089001
Pascal Hambourg a écrit :
Jérémie a écrit :
Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en
fond pour trouver une activité suspecte. Ce pont relie un switch sur
lequel est greffé tout le réseau à un modem-routeur. Le switch possède
aussi sa propre connexion vers le routeur, directement :

eth1 switch
______+++++++++________ lan
/ |
br0 |
______+++++++++________ lan
eth0 routeur




Un détail que je ne comprends pas : pourquoi y a-t-il deux branches LAN,
une sur le switch et une sur le routeur ?


Une partie du LAN est ramenée directement sur le routeur.
La partie partant sur le switch est spécifique est a besoin d'une plus
grande bande passante, donc j'y fait une aggrégation. De plus du switch
part de la fibre optique qui relie deux bâtiments.
Jérémie
Le #18088991
> Pour éviter les boucles normalement il faut activer le protocole STP
(spanning tree) sur tous les switches du réseau, y compris le switch
intégré au routeur et le pont Linux (cf. brctl). Mais le résultat est
que les switches empêchent les boucles en coupant certains de leurs
ports, et du coup la capture risque de moins bien marcher.



En effet, après avoir laissé en place le seul chemin passant par le
bridge tout est tip top (juste un délai pendant lequel plus personne
n'avait de réseau, mais 5 minutes grand maximum).
Pascal Hambourg
Le #18090711
Jérémie a écrit :
Pascal Hambourg a écrit :
Jérémie a écrit :

eth1 switch
______+++++++++________ lan
/ |
br0 |
______+++++++++________ lan
eth0 routeur




Un détail que je ne comprends pas : pourquoi y a-t-il deux branches
LAN, une sur le switch et une sur le routeur ?



Une partie du LAN est ramenée directement sur le routeur.
La partie partant sur le switch est spécifique est a besoin d'une plus
grande bande passante, donc j'y fait une aggrégation.



Dans les précédents messages, il était question de 8 puis 4 ports sur le
routeur, et de 3 liaisons directes entre le switch et le routeur. Qu'en
est-il réellement ?

La liaison directe entre le switch et le routeur, qui a été coupée pour
éviter la boucle, est-elle censée faire partie de cette agrégation,
ainsi que la liaison passant par le pont ?
Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait
pas dû y avoir de boucle. Les ports correspondants du switch et du
routeur sont-ils explicitement configurés pour une telle agrégation ?
D'autre part, le pont ne pouvait pas voir passer tous les paquets entre
le routeur et le switch.
GuiGui
Le #18092401
Pascal Hambourg a écrit :

La liaison directe entre le switch et le routeur, qui a été coupée pour
éviter la boucle, est-elle censée faire partie de cette agrégation,
ainsi que la liaison passant par le pont ?
Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait
pas dû y avoir de boucle. Les ports correspondants du switch et du
routeur sont-ils explicitement configurés pour une telle agrégation ?



Pas sûr, car le bridge ne fait pas de LACP (sauf configuration explicite
comme tu le faisais remarquer ;-) ), donc seuls les liens directs font
de l'agrégation et le bridge boucle.

D'autre part, le pont ne pouvait pas voir passer tous les paquets entre
le routeur et le switch.



Je suis assez d'accord aussi. Ou alors switch & routeurs sont mal
configurés et il y a eu un effet de bord dû au stp.
Pascal Hambourg
Le #18094561
GuiGui a écrit :
Pascal Hambourg a écrit :

La liaison directe entre le switch et le routeur, qui a été coupée
pour éviter la boucle, est-elle censée faire partie de cette
agrégation, ainsi que la liaison passant par le pont ?
Si oui, et si l'agrégation fonctionnait correctement, alors il
n'aurait pas dû y avoir de boucle. Les ports correspondants du switch
et du routeur sont-ils explicitement configurés pour une telle
agrégation ?



Pas sûr, car le bridge ne fait pas de LACP (sauf configuration explicite
comme tu le faisais remarquer ;-) ), donc seuls les liens directs font
de l'agrégation et le bridge boucle.



Ce qui soulève une question : le pont ne fait certes pas de LACP, mais
est-il transparent aux PDU LACP ? S'il l'est, le lien sur lequel il se
trouve apparaît direct et pourrait faire partie de l'agrégation.
GuiGui
Le #18096971
Pascal Hambourg a écrit :

Ce qui soulève une question : le pont ne fait certes pas de LACP, mais
est-il transparent aux PDU LACP ? S'il l'est, le lien sur lequel il se
trouve apparaît direct et pourrait faire partie de l'agrégation.



Non, pas possible. En LACP, les liens doivent être directs. Aucun autre
équipement entre les deux.
Pascal Hambourg
Le #18105251
GuiGui a écrit :
Pascal Hambourg a écrit :

Ce qui soulève une question : le pont ne fait certes pas de LACP, mais
est-il transparent aux PDU LACP ? S'il l'est, le lien sur lequel il se
trouve apparaît direct et pourrait faire partie de l'agrégation.



Non, pas possible. En LACP, les liens doivent être directs. Aucun autre
équipement entre les deux.



Comment les deux équipements qui font du LACP voient qu'un lien est
direct ou s'il y a un machin transparent (switch, pont) au milieu ?
Jérémie
Le #18107461
> Dans les précédents messages, il était question de 8 puis 4 ports sur le
routeur, et de 3 liaisons directes entre le switch et le routeur. Qu'en
est-il réellement ?



Désolé, grosse faute de frappe, c'est du 4 LAN et 4 WAN

La liaison directe entre le switch et le routeur, qui a été coupée pour
éviter la boucle, est-elle censée faire partie de cette agrégation,
ainsi que la liaison passant par le pont ?


Non. Je le pensais, mais après avoir relu mon manuel, il s'est avéré que
ce n'est pas le cas.
Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait
pas dû y avoir de boucle. Les ports correspondants du switch et du
routeur sont-ils explicitement configurés pour une telle agrégation ?
D'autre part, le pont ne pouvait pas voir passer tous les paquets entre
le routeur et le switch.


Publicité
Poster une réponse
Anonyme