Après mon topic "Deux passerelles", j'ai mis en place la solution
proposée, et tout semblait OK jusqu'à ce que le réseau commence à ramer
sévère, jusqu'à complètement s'écrouler.
En scrutant mes logs, j'ai remarqué les messages suivants étaient
récurrents :
eth0 : received own address as source address
eth1 : received own address as source address
je penche donc pour une boucle, mais je n'arrive pas à trouver comment
la supprimer.
Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en
fond pour trouver une activité suspecte. Ce pont relie un switch sur
lequel est greffé tout le réseau à un modem-routeur. Le switch possède
aussi sa propre connexion vers le routeur, directement :
eth1 switch
______+++++++++________ lan
/ |
br0 |
\______+++++++++________ lan
eth0 routeur
Je ne m'y connais pas assez en bridging pour supprimer cette boucle,
auriez-vous des conseils ?
je penche donc pour une boucle, mais je n'arrive pas à trouver comment la supprimer. Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en fond pour trouver une activité suspecte. Ce pont relie un switch sur lequel est greffé tout le réseau à un modem-routeur. Le switch possède aussi sa propre connexion vers le routeur, directement :
eth1 switch ______+++++++++________ lan / | br0 | ______+++++++++________ lan eth0 routeur
Pour une belle boucle, c'est une belle boucle.
Je ne m'y connais pas assez en bridging pour supprimer cette boucle, auriez-vous des conseils ?
Ouais, un : supprimer la liaison directe entre le switch et le routeur. A quoi sert-elle au juste ? Cette liaison est comme un court-circuit, je ne comprends même pas comment la capture de trafic sur le pont peut être fiable avec une telle topologie.
Pour éviter les boucles normalement il faut activer le protocole STP (spanning tree) sur tous les switches du réseau, y compris le switch intégré au routeur et le pont Linux (cf. brctl). Mais le résultat est que les switches empêchent les boucles en coupant certains de leurs ports, et du coup la capture risque de moins bien marcher.
Salut,
Jérémie a écrit :
je penche donc pour une boucle, mais je n'arrive pas à trouver comment
la supprimer.
Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en
fond pour trouver une activité suspecte. Ce pont relie un switch sur
lequel est greffé tout le réseau à un modem-routeur. Le switch possède
aussi sa propre connexion vers le routeur, directement :
eth1 switch
______+++++++++________ lan
/ |
br0 |
______+++++++++________ lan
eth0 routeur
Pour une belle boucle, c'est une belle boucle.
Je ne m'y connais pas assez en bridging pour supprimer cette boucle,
auriez-vous des conseils ?
Ouais, un : supprimer la liaison directe entre le switch et le routeur.
A quoi sert-elle au juste ? Cette liaison est comme un court-circuit, je
ne comprends même pas comment la capture de trafic sur le pont peut être
fiable avec une telle topologie.
Pour éviter les boucles normalement il faut activer le protocole STP
(spanning tree) sur tous les switches du réseau, y compris le switch
intégré au routeur et le pont Linux (cf. brctl). Mais le résultat est
que les switches empêchent les boucles en coupant certains de leurs
ports, et du coup la capture risque de moins bien marcher.
je penche donc pour une boucle, mais je n'arrive pas à trouver comment la supprimer. Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en fond pour trouver une activité suspecte. Ce pont relie un switch sur lequel est greffé tout le réseau à un modem-routeur. Le switch possède aussi sa propre connexion vers le routeur, directement :
eth1 switch ______+++++++++________ lan / | br0 | ______+++++++++________ lan eth0 routeur
Pour une belle boucle, c'est une belle boucle.
Je ne m'y connais pas assez en bridging pour supprimer cette boucle, auriez-vous des conseils ?
Ouais, un : supprimer la liaison directe entre le switch et le routeur. A quoi sert-elle au juste ? Cette liaison est comme un court-circuit, je ne comprends même pas comment la capture de trafic sur le pont peut être fiable avec une telle topologie.
Pour éviter les boucles normalement il faut activer le protocole STP (spanning tree) sur tous les switches du réseau, y compris le switch intégré au routeur et le pont Linux (cf. brctl). Mais le résultat est que les switches empêchent les boucles en coupant certains de leurs ports, et du coup la capture risque de moins bien marcher.
Pascal Hambourg
Jérémie a écrit :
Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en fond pour trouver une activité suspecte. Ce pont relie un switch sur lequel est greffé tout le réseau à un modem-routeur. Le switch possède aussi sa propre connexion vers le routeur, directement :
eth1 switch ______+++++++++________ lan / | br0 | ______+++++++++________ lan eth0 routeur
Un détail que je ne comprends pas : pourquoi y a-t-il deux branches LAN, une sur le switch et une sur le routeur ?
Jérémie a écrit :
Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en
fond pour trouver une activité suspecte. Ce pont relie un switch sur
lequel est greffé tout le réseau à un modem-routeur. Le switch possède
aussi sa propre connexion vers le routeur, directement :
eth1 switch
______+++++++++________ lan
/ |
br0 |
______+++++++++________ lan
eth0 routeur
Un détail que je ne comprends pas : pourquoi y a-t-il deux branches LAN,
une sur le switch et une sur le routeur ?
Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en fond pour trouver une activité suspecte. Ce pont relie un switch sur lequel est greffé tout le réseau à un modem-routeur. Le switch possède aussi sa propre connexion vers le routeur, directement :
eth1 switch ______+++++++++________ lan / | br0 | ______+++++++++________ lan eth0 routeur
Un détail que je ne comprends pas : pourquoi y a-t-il deux branches LAN, une sur le switch et une sur le routeur ?
Jérémie
Pascal Hambourg a écrit :
Jérémie a écrit :
Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en fond pour trouver une activité suspecte. Ce pont relie un switch sur lequel est greffé tout le réseau à un modem-routeur. Le switch possède aussi sa propre connexion vers le routeur, directement :
eth1 switch ______+++++++++________ lan / | br0 | ______+++++++++________ lan eth0 routeur
Un détail que je ne comprends pas : pourquoi y a-t-il deux branches LAN, une sur le switch et une sur le routeur ?
Une partie du LAN est ramenée directement sur le routeur. La partie partant sur le switch est spécifique est a besoin d'une plus grande bande passante, donc j'y fait une aggrégation. De plus du switch part de la fibre optique qui relie deux bâtiments.
Pascal Hambourg a écrit :
Jérémie a écrit :
Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en
fond pour trouver une activité suspecte. Ce pont relie un switch sur
lequel est greffé tout le réseau à un modem-routeur. Le switch possède
aussi sa propre connexion vers le routeur, directement :
eth1 switch
______+++++++++________ lan
/ |
br0 |
______+++++++++________ lan
eth0 routeur
Un détail que je ne comprends pas : pourquoi y a-t-il deux branches LAN,
une sur le switch et une sur le routeur ?
Une partie du LAN est ramenée directement sur le routeur.
La partie partant sur le switch est spécifique est a besoin d'une plus
grande bande passante, donc j'y fait une aggrégation. De plus du switch
part de la fibre optique qui relie deux bâtiments.
Pour rappel : j'ai mis en place un pont faisant tourner un tcpdump en fond pour trouver une activité suspecte. Ce pont relie un switch sur lequel est greffé tout le réseau à un modem-routeur. Le switch possède aussi sa propre connexion vers le routeur, directement :
eth1 switch ______+++++++++________ lan / | br0 | ______+++++++++________ lan eth0 routeur
Un détail que je ne comprends pas : pourquoi y a-t-il deux branches LAN, une sur le switch et une sur le routeur ?
Une partie du LAN est ramenée directement sur le routeur. La partie partant sur le switch est spécifique est a besoin d'une plus grande bande passante, donc j'y fait une aggrégation. De plus du switch part de la fibre optique qui relie deux bâtiments.
Jérémie
> Pour éviter les boucles normalement il faut activer le protocole STP (spanning tree) sur tous les switches du réseau, y compris le switch intégré au routeur et le pont Linux (cf. brctl). Mais le résultat est que les switches empêchent les boucles en coupant certains de leurs ports, et du coup la capture risque de moins bien marcher.
En effet, après avoir laissé en place le seul chemin passant par le bridge tout est tip top (juste un délai pendant lequel plus personne n'avait de réseau, mais 5 minutes grand maximum).
> Pour éviter les boucles normalement il faut activer le protocole STP
(spanning tree) sur tous les switches du réseau, y compris le switch
intégré au routeur et le pont Linux (cf. brctl). Mais le résultat est
que les switches empêchent les boucles en coupant certains de leurs
ports, et du coup la capture risque de moins bien marcher.
En effet, après avoir laissé en place le seul chemin passant par le
bridge tout est tip top (juste un délai pendant lequel plus personne
n'avait de réseau, mais 5 minutes grand maximum).
> Pour éviter les boucles normalement il faut activer le protocole STP (spanning tree) sur tous les switches du réseau, y compris le switch intégré au routeur et le pont Linux (cf. brctl). Mais le résultat est que les switches empêchent les boucles en coupant certains de leurs ports, et du coup la capture risque de moins bien marcher.
En effet, après avoir laissé en place le seul chemin passant par le bridge tout est tip top (juste un délai pendant lequel plus personne n'avait de réseau, mais 5 minutes grand maximum).
Pascal Hambourg
Jérémie a écrit :
Pascal Hambourg a écrit :
Jérémie a écrit :
eth1 switch ______+++++++++________ lan / | br0 | ______+++++++++________ lan eth0 routeur
Un détail que je ne comprends pas : pourquoi y a-t-il deux branches LAN, une sur le switch et une sur le routeur ?
Une partie du LAN est ramenée directement sur le routeur. La partie partant sur le switch est spécifique est a besoin d'une plus grande bande passante, donc j'y fait une aggrégation.
Dans les précédents messages, il était question de 8 puis 4 ports sur le routeur, et de 3 liaisons directes entre le switch et le routeur. Qu'en est-il réellement ?
La liaison directe entre le switch et le routeur, qui a été coupée pour éviter la boucle, est-elle censée faire partie de cette agrégation, ainsi que la liaison passant par le pont ? Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait pas dû y avoir de boucle. Les ports correspondants du switch et du routeur sont-ils explicitement configurés pour une telle agrégation ? D'autre part, le pont ne pouvait pas voir passer tous les paquets entre le routeur et le switch.
Jérémie a écrit :
Pascal Hambourg a écrit :
Jérémie a écrit :
eth1 switch
______+++++++++________ lan
/ |
br0 |
______+++++++++________ lan
eth0 routeur
Un détail que je ne comprends pas : pourquoi y a-t-il deux branches
LAN, une sur le switch et une sur le routeur ?
Une partie du LAN est ramenée directement sur le routeur.
La partie partant sur le switch est spécifique est a besoin d'une plus
grande bande passante, donc j'y fait une aggrégation.
Dans les précédents messages, il était question de 8 puis 4 ports sur le
routeur, et de 3 liaisons directes entre le switch et le routeur. Qu'en
est-il réellement ?
La liaison directe entre le switch et le routeur, qui a été coupée pour
éviter la boucle, est-elle censée faire partie de cette agrégation,
ainsi que la liaison passant par le pont ?
Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait
pas dû y avoir de boucle. Les ports correspondants du switch et du
routeur sont-ils explicitement configurés pour une telle agrégation ?
D'autre part, le pont ne pouvait pas voir passer tous les paquets entre
le routeur et le switch.
eth1 switch ______+++++++++________ lan / | br0 | ______+++++++++________ lan eth0 routeur
Un détail que je ne comprends pas : pourquoi y a-t-il deux branches LAN, une sur le switch et une sur le routeur ?
Une partie du LAN est ramenée directement sur le routeur. La partie partant sur le switch est spécifique est a besoin d'une plus grande bande passante, donc j'y fait une aggrégation.
Dans les précédents messages, il était question de 8 puis 4 ports sur le routeur, et de 3 liaisons directes entre le switch et le routeur. Qu'en est-il réellement ?
La liaison directe entre le switch et le routeur, qui a été coupée pour éviter la boucle, est-elle censée faire partie de cette agrégation, ainsi que la liaison passant par le pont ? Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait pas dû y avoir de boucle. Les ports correspondants du switch et du routeur sont-ils explicitement configurés pour une telle agrégation ? D'autre part, le pont ne pouvait pas voir passer tous les paquets entre le routeur et le switch.
GuiGui
Pascal Hambourg a écrit :
La liaison directe entre le switch et le routeur, qui a été coupée pour éviter la boucle, est-elle censée faire partie de cette agrégation, ainsi que la liaison passant par le pont ? Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait pas dû y avoir de boucle. Les ports correspondants du switch et du routeur sont-ils explicitement configurés pour une telle agrégation ?
Pas sûr, car le bridge ne fait pas de LACP (sauf configuration explicite comme tu le faisais remarquer ;-) ), donc seuls les liens directs font de l'agrégation et le bridge boucle.
D'autre part, le pont ne pouvait pas voir passer tous les paquets entre le routeur et le switch.
Je suis assez d'accord aussi. Ou alors switch & routeurs sont mal configurés et il y a eu un effet de bord dû au stp.
Pascal Hambourg a écrit :
La liaison directe entre le switch et le routeur, qui a été coupée pour
éviter la boucle, est-elle censée faire partie de cette agrégation,
ainsi que la liaison passant par le pont ?
Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait
pas dû y avoir de boucle. Les ports correspondants du switch et du
routeur sont-ils explicitement configurés pour une telle agrégation ?
Pas sûr, car le bridge ne fait pas de LACP (sauf configuration explicite
comme tu le faisais remarquer ;-) ), donc seuls les liens directs font
de l'agrégation et le bridge boucle.
D'autre part, le pont ne pouvait pas voir passer tous les paquets entre
le routeur et le switch.
Je suis assez d'accord aussi. Ou alors switch & routeurs sont mal
configurés et il y a eu un effet de bord dû au stp.
La liaison directe entre le switch et le routeur, qui a été coupée pour éviter la boucle, est-elle censée faire partie de cette agrégation, ainsi que la liaison passant par le pont ? Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait pas dû y avoir de boucle. Les ports correspondants du switch et du routeur sont-ils explicitement configurés pour une telle agrégation ?
Pas sûr, car le bridge ne fait pas de LACP (sauf configuration explicite comme tu le faisais remarquer ;-) ), donc seuls les liens directs font de l'agrégation et le bridge boucle.
D'autre part, le pont ne pouvait pas voir passer tous les paquets entre le routeur et le switch.
Je suis assez d'accord aussi. Ou alors switch & routeurs sont mal configurés et il y a eu un effet de bord dû au stp.
Pascal Hambourg
GuiGui a écrit :
Pascal Hambourg a écrit :
La liaison directe entre le switch et le routeur, qui a été coupée pour éviter la boucle, est-elle censée faire partie de cette agrégation, ainsi que la liaison passant par le pont ? Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait pas dû y avoir de boucle. Les ports correspondants du switch et du routeur sont-ils explicitement configurés pour une telle agrégation ?
Pas sûr, car le bridge ne fait pas de LACP (sauf configuration explicite comme tu le faisais remarquer ;-) ), donc seuls les liens directs font de l'agrégation et le bridge boucle.
Ce qui soulève une question : le pont ne fait certes pas de LACP, mais est-il transparent aux PDU LACP ? S'il l'est, le lien sur lequel il se trouve apparaît direct et pourrait faire partie de l'agrégation.
GuiGui a écrit :
Pascal Hambourg a écrit :
La liaison directe entre le switch et le routeur, qui a été coupée
pour éviter la boucle, est-elle censée faire partie de cette
agrégation, ainsi que la liaison passant par le pont ?
Si oui, et si l'agrégation fonctionnait correctement, alors il
n'aurait pas dû y avoir de boucle. Les ports correspondants du switch
et du routeur sont-ils explicitement configurés pour une telle
agrégation ?
Pas sûr, car le bridge ne fait pas de LACP (sauf configuration explicite
comme tu le faisais remarquer ;-) ), donc seuls les liens directs font
de l'agrégation et le bridge boucle.
Ce qui soulève une question : le pont ne fait certes pas de LACP, mais
est-il transparent aux PDU LACP ? S'il l'est, le lien sur lequel il se
trouve apparaît direct et pourrait faire partie de l'agrégation.
La liaison directe entre le switch et le routeur, qui a été coupée pour éviter la boucle, est-elle censée faire partie de cette agrégation, ainsi que la liaison passant par le pont ? Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait pas dû y avoir de boucle. Les ports correspondants du switch et du routeur sont-ils explicitement configurés pour une telle agrégation ?
Pas sûr, car le bridge ne fait pas de LACP (sauf configuration explicite comme tu le faisais remarquer ;-) ), donc seuls les liens directs font de l'agrégation et le bridge boucle.
Ce qui soulève une question : le pont ne fait certes pas de LACP, mais est-il transparent aux PDU LACP ? S'il l'est, le lien sur lequel il se trouve apparaît direct et pourrait faire partie de l'agrégation.
GuiGui
Pascal Hambourg a écrit :
Ce qui soulève une question : le pont ne fait certes pas de LACP, mais est-il transparent aux PDU LACP ? S'il l'est, le lien sur lequel il se trouve apparaît direct et pourrait faire partie de l'agrégation.
Non, pas possible. En LACP, les liens doivent être directs. Aucun autre équipement entre les deux.
Pascal Hambourg a écrit :
Ce qui soulève une question : le pont ne fait certes pas de LACP, mais
est-il transparent aux PDU LACP ? S'il l'est, le lien sur lequel il se
trouve apparaît direct et pourrait faire partie de l'agrégation.
Non, pas possible. En LACP, les liens doivent être directs. Aucun autre
équipement entre les deux.
Ce qui soulève une question : le pont ne fait certes pas de LACP, mais est-il transparent aux PDU LACP ? S'il l'est, le lien sur lequel il se trouve apparaît direct et pourrait faire partie de l'agrégation.
Non, pas possible. En LACP, les liens doivent être directs. Aucun autre équipement entre les deux.
Pascal Hambourg
GuiGui a écrit :
Pascal Hambourg a écrit :
Ce qui soulève une question : le pont ne fait certes pas de LACP, mais est-il transparent aux PDU LACP ? S'il l'est, le lien sur lequel il se trouve apparaît direct et pourrait faire partie de l'agrégation.
Non, pas possible. En LACP, les liens doivent être directs. Aucun autre équipement entre les deux.
Comment les deux équipements qui font du LACP voient qu'un lien est direct ou s'il y a un machin transparent (switch, pont) au milieu ?
GuiGui a écrit :
Pascal Hambourg a écrit :
Ce qui soulève une question : le pont ne fait certes pas de LACP, mais
est-il transparent aux PDU LACP ? S'il l'est, le lien sur lequel il se
trouve apparaît direct et pourrait faire partie de l'agrégation.
Non, pas possible. En LACP, les liens doivent être directs. Aucun autre
équipement entre les deux.
Comment les deux équipements qui font du LACP voient qu'un lien est
direct ou s'il y a un machin transparent (switch, pont) au milieu ?
Ce qui soulève une question : le pont ne fait certes pas de LACP, mais est-il transparent aux PDU LACP ? S'il l'est, le lien sur lequel il se trouve apparaît direct et pourrait faire partie de l'agrégation.
Non, pas possible. En LACP, les liens doivent être directs. Aucun autre équipement entre les deux.
Comment les deux équipements qui font du LACP voient qu'un lien est direct ou s'il y a un machin transparent (switch, pont) au milieu ?
Jérémie
> Dans les précédents messages, il était question de 8 puis 4 ports sur le routeur, et de 3 liaisons directes entre le switch et le routeur. Qu'en est-il réellement ?
Désolé, grosse faute de frappe, c'est du 4 LAN et 4 WAN
La liaison directe entre le switch et le routeur, qui a été coupée pour éviter la boucle, est-elle censée faire partie de cette agrégation, ainsi que la liaison passant par le pont ?
Non. Je le pensais, mais après avoir relu mon manuel, il s'est avéré que ce n'est pas le cas.
Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait pas dû y avoir de boucle. Les ports correspondants du switch et du routeur sont-ils explicitement configurés pour une telle agrégation ? D'autre part, le pont ne pouvait pas voir passer tous les paquets entre le routeur et le switch.
> Dans les précédents messages, il était question de 8 puis 4 ports sur le
routeur, et de 3 liaisons directes entre le switch et le routeur. Qu'en
est-il réellement ?
Désolé, grosse faute de frappe, c'est du 4 LAN et 4 WAN
La liaison directe entre le switch et le routeur, qui a été coupée pour
éviter la boucle, est-elle censée faire partie de cette agrégation,
ainsi que la liaison passant par le pont ?
Non. Je le pensais, mais après avoir relu mon manuel, il s'est avéré que
ce n'est pas le cas.
Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait
pas dû y avoir de boucle. Les ports correspondants du switch et du
routeur sont-ils explicitement configurés pour une telle agrégation ?
D'autre part, le pont ne pouvait pas voir passer tous les paquets entre
le routeur et le switch.
> Dans les précédents messages, il était question de 8 puis 4 ports sur le routeur, et de 3 liaisons directes entre le switch et le routeur. Qu'en est-il réellement ?
Désolé, grosse faute de frappe, c'est du 4 LAN et 4 WAN
La liaison directe entre le switch et le routeur, qui a été coupée pour éviter la boucle, est-elle censée faire partie de cette agrégation, ainsi que la liaison passant par le pont ?
Non. Je le pensais, mais après avoir relu mon manuel, il s'est avéré que ce n'est pas le cas.
Si oui, et si l'agrégation fonctionnait correctement, alors il n'aurait pas dû y avoir de boucle. Les ports correspondants du switch et du routeur sont-ils explicitement configurés pour une telle agrégation ? D'autre part, le pont ne pouvait pas voir passer tous les paquets entre le routeur et le switch.
