Saturation réseau, trames broadcast APR en cause?
Le
pierrew57
Bonjour,
J'ai dans mon réseau informatique composé d'environ 200 machines
(2000, XP pour les machines clients) des lenteurs qui apparaissent par
moment, le réseau est saturé de trames ARP en broadcast (sur 10mn, 90%
du traffic correspond à du broadcast ARP).
J'ai bien sur d'abord débranché les machines concernées, mais d'autres
prennent le relais (même le serveur active directory réplica).
L'antivirus sur les ordinateurs est à jour, j'ai testé avec un autre
antivirus, rien.
Les pcs sont maintenues à jour avec un WSUS
Le réseau local est théoriquement bien protégé.
Avez-vous une idée pour solutionner ces lenteurs qui engendrent de
gros problèmes (réseau saturé par moment).
Le Spnnaning Tree est activé sur tous les switchs.
Je ne pense pas que ça soit une boucle car les trames sont toutes
différentes, ce qui est bizarre, les broadcast ARP (who has xxxxxx ?
Tell me.) change à chaque fois avec des plages ip cohérente pour
mon réseau mais sur des adresses qui n'existent pas vraiment.
Exemple fictif:
- Who has 192.168.1.10 tell 192.168.1.9
- Who has 192.168.1.11 tell 192.168.1.9
- Who has 12.168.1.15 tell 192.168.1.9
Etc..
Vous me direz, le broadcast ARP y en a toujours mais là c'est bien ça
qui semble saturé le réseau (vérification en se connectant sur le
switch).
J'espère être au bon endroit pour ce problème car pour l'instant,
impossible de solutionner ceci.
Merci d'avance
J'ai dans mon réseau informatique composé d'environ 200 machines
(2000, XP pour les machines clients) des lenteurs qui apparaissent par
moment, le réseau est saturé de trames ARP en broadcast (sur 10mn, 90%
du traffic correspond à du broadcast ARP).
J'ai bien sur d'abord débranché les machines concernées, mais d'autres
prennent le relais (même le serveur active directory réplica).
L'antivirus sur les ordinateurs est à jour, j'ai testé avec un autre
antivirus, rien.
Les pcs sont maintenues à jour avec un WSUS
Le réseau local est théoriquement bien protégé.
Avez-vous une idée pour solutionner ces lenteurs qui engendrent de
gros problèmes (réseau saturé par moment).
Le Spnnaning Tree est activé sur tous les switchs.
Je ne pense pas que ça soit une boucle car les trames sont toutes
différentes, ce qui est bizarre, les broadcast ARP (who has xxxxxx ?
Tell me.) change à chaque fois avec des plages ip cohérente pour
mon réseau mais sur des adresses qui n'existent pas vraiment.
Exemple fictif:
- Who has 192.168.1.10 tell 192.168.1.9
- Who has 192.168.1.11 tell 192.168.1.9
- Who has 12.168.1.15 tell 192.168.1.9
Etc..
Vous me direz, le broadcast ARP y en a toujours mais là c'est bien ça
qui semble saturé le réseau (vérification en se connectant sur le
switch).
J'espère être au bon endroit pour ce problème car pour l'instant,
impossible de solutionner ceci.
Merci d'avance
Poser une question
La dernière fois que j'ai un ARP storm (j'en avais d'ailleurs parlé
ici), j'ai d'abord accusé un merdier SSDP partage media player, etc,
et finalement je me suis aperçue que le coupable était un bout de la
suite de sécurité MacAfee.
--
Nina
ça venait de quel composant ?
--
http://olivier.2a.free.fr/
pas de turlututu. apres l'@robase
Le bidule qui suit l'état de mise à jour des AV des autres postes, ou
qqch de ce genre.
Je suis en province, là, je regarderai jeudi en rentrant si tu veux.
Mais c'était l'ARP storm dans les règles comme j'avais pas vu depuis
longtemps...
--
Nina
la console de gestion centralisée en somme, on à le meme chose sur
symantec mais pas de tuile du genre pour le moment
--
http://olivier.2a.free.fr/
pas de turlututu. apres l'@robase
Non non justement, c'était un brave MacAfee de base monoposte version
d'éval...et en creusant j'ai découvert un service qui s'occupait des
voisins...
Faut que je le réinstalle, de toute manière...
--
Nina