Infos sur le Traffic UDP

par **shadebob** » 11 Jan 2004 23:09

Bonjour Forum, Voila mon probleme, Je suis dans un reseau en 172.16.0.X/255.255.0.0... Jusque la tout va bien Je passe par une passerelle qui me relie au reseau 192.168.1.X/255/255/255.0 et qui ne laisse passer que du 53 et du 80. Mon probleme est que quand je lance un tcpdump par exemple sur ma machine en 172.16.0.X je vois un traffic par exemple : - 21:15:07.650947 192.168.1.74.netbios-ns > 192.168.1.255.netbios-ns: - 21:15:07.173092 arp who-has 192.168.1.253 tell 192.168.1.101 - 21:15:07.273324 arp who-has 192.168.1.253 tell 192.168.1.65 Est ce que c'est normal de voir ce traffic ou pas. Meme si j'enleve le promiscious ca me montre toujours ce traffic... Comment je peux isoler mes deux reseaux sachant que physiquement je suis oblige de passer par les memes elements actifs? Merci

par **tomtom** » 11 Jan 2004 23:25

Le fait que tu voies ce traffic n'indique pas qu'il soit accepté par le noyau... Mais c'est sur que si tout le monde est branché sur le meêm switch, la passerelle peut etre contournée TRES facilement ! Et tu verras toujours les diffusions (car les trammes que tu indioques sont des diffusions.. ) puisque le switch les enverra toujours à tous ses ports. Pour segmenter un reseau, il faut au moins mettre un routeur !!! t.

par **nicolefou** » 12 Jan 2004 19:22

Si ton switch est administrable, je pense qu'en créant des VLANs tu devrais faire disparaitre ce problème. Tu cré un VLAN pour pour les ports en IP 192.168.1.xxx et un autre pour les ports en IP 172.16.0.xxx. Cela devrait te faire disparaitre les diffusions utilisées par le protocole netbios.

par **korosv** » 12 Jan 2004 20:32

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Tu cré un VLAN pour pour les ports en IP 192.168.1.xxx et un autre pour les ports en IP 172.16.0.xxx. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> <IMG SRC="images/smiles/icon_up.gif"> il faudrait que tu revois la notions des VLANS... Mais l'idée de leur utilisation peut etre une solution ... certe inappropié dans ce cas, un simple routage suffit ...

par **nicolefou** » 13 Jan 2004 00:03

Je pense qu'on ne vois pas sa topologie physique de la même façon. Pour moi il a 2 réseaux IP différents qui communiquent entre eux par une passerelle LAN - LAN (avec un firewall en plus) et il a qu'un seul switch sur lequel sont relié les machines des 2 réseaux IP différents. D'aprés tomtom, il voit en lançant tcpdump sur une machine du réseau IP 172.16.0.xxx, le trafic du réseau IP 192.168.1.xxx, car toutes les machines sont sur le même switch. A ce moment là, je parlais de VLANs pour découper virtuellement le switch en 2; une partie pour y connecter les machines en 192.168.1.xxx et l'autre pour les machines en 172.16.1.xxx et bien sur placer un routeur entre ces 2 VLANs. On pourrait meme y placer un routeur avec une seul interface du moment que celle ci est connectée à un port du switch qui appartient aux 2 VLANs (je crois qu'on appel ça port trunk sur le matos Cisco ?).

par **tomtom** » 13 Jan 2004 10:16

heu, non, le trunk port c'est pour passer du 802.1Q entre des switchs (pour ne passer entre deux switchs que le traffic qui est dans les vlans presents sur les 2 switches, j'espère que c'est assez clair, c'est pas simple à dire en une phrase). Par contre, je suis d'accord sur le fait que "couper" le switch en 2 avec des vlans, en reservant une plage d'ip specifique pour chaque vlan peut etre une bonne chose. Ca va couper le broadcast, c'est clair, et surement faire economiser un peu de bande. Même si le mieux serait bien sur de mettre 2 switchs (pour la securité). t.

par **korosv** » 13 Jan 2004 12:16

---->> Nicolefou : En fait c'est moi qui ai un peu oublié cette notion ... merci à toi de me faire ressortir les cours cisco ...<IMG SRC="images/smiles/icon_bise.gif"> Ta vision est bonne, mais ceci dit, un vlan se comporte exactement comme un réseau, ou plutot un sous-réseau donné (ce sont tous les deux un domain de broadcast) ... Chez cisco on parle de réseau logique, pour les vlans, et de réseau physique, pour un sous réseau classique ... Tous les deux ont les mêmes nécessités de mise en oeuvre pour l'interconnection ... à savoir un routeur. J'ai utilisé le terme "inapproprié" mais ce terme n'est pas tout a fait correct : ce que je voulais dire est, que pour le cas présent, séparé deux réseaux et ainsi limité le broadcast, la solution qui est de faire du routage classique est celle qui correspond le mieux ... plus facile, plus rapide à mettre en ouvre ... et nécessite juste un routeur --->>Tomtom : le trunk port désigne le lien entre les éléments switch/switch, switch/routeur ou routeur/routeur ... Via ce lien on fait passer divers protocoles nécessaire au maintien du réseau (VTP, STP, MLS ...) dont le protocole 802.1Q (qui est le standard IEEE et couramment utilisé) et le protocole ISL (qui est un propriétaire Cisco et est en désuétude) ... ces deux protocoles permettent le traffic des informations sur plusieurs vlans ... c'est un petit peu le vlan de management. <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> On pourrait meme y placer un routeur avec une seul interface du moment que celle ci est connectée à un port du switch qui appartient aux 2 VLANs (je crois qu'on appel ça port trunk sur le matos Cisco ?). </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Un port d'un siwtch ne peut appartenir qu'à un seul Vlan à la fois ....

par **tomtom** » 13 Jan 2004 12:29

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Un port d'un siwtch ne peut appartenir qu'à un seul Vlan à la fois .... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Sauf les ports trunk <IMG SRC="images/smiles/icon_smile.gif"> t.

par **korosv** » 13 Jan 2004 12:35

par **tomtom** » 13 Jan 2004 12:48

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> le trunk port désigne le lien entre les éléments switch/switch, switch/routeur ou routeur/routeur ... Via ce lien on fait passer divers protocoles nécessaire au maintien du réseau (VTP, STP, MLS ...) dont le protocole 802.1Q (qui est le standard IEEE et couramment utilisé) et le protocole ISL (qui est un propriétaire Cisco et est en désuétude) ... ces deux protocoles permettent le traffic des informations sur plusieurs vlans ... c'est un petit peu le vlan de management. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Tu te trompes dnas l'interpretation du trunking. Ce n'est pas le vlan de management (celui là c'ets le 0 en général <IMG SRC="images/smiles/icon_wink.gif"> ). Un port trunk appartien à plusieurs vlans, en fait tous les vlans qui sont présents sur les deux equipements qu'il relie, si ces equipements gerent les vlans (on parle de materiel "vlan-aware", à la vandamme <IMG SRC="images/smiles/icon_wink.gif"> ). Le principe est de ne passer dans un lien trunk que le traffic qui est destiné à des vlans gérés par l'autre equipement. un exemple sera plus parlant. Supposons que tu as 2 switches. Sur le premier, tu as 3 vlans de configurés, 1, 2 et 3. Sur le second, tu as les vlan 2, 3 et 4 de configurés. Si on veut que les stations du vlan 3 puissnet se parler d'un switch à l'autre, il faut que l'information destinée au vlan 3 travers le lien entre les swicths. De même pour le vlan 2. On sent bien qu'il va falloir modifier legerement le protocole pour ajouter de l'information dans les trames entre le sdeux equipements. Typiquement, à chaque fois qu'un modif de conf vlan a lieu sur un switch, il va informer l'autre qu'il gere tel ou tel vlan, et que l'information doit lui parvenir. De plus, les trames doivent avoir une indication de vlan (puisque si une station sur le switch 1 parle à une station sur le swicth 2, ce dernier ne peut pas deviner à quel vlan est destinée la trame). Le protocole ethernet est donc legerement modifie en ajoutant un pseudo entete qui contient les infos liées au vlan. Cisco a effectivement mis en place un protocole propriétaire, ISL, que je n'ai absoluement jamais vu utilisé. Le seul est 802.1Q, qui ajoute deux octets à l'entete ethernet. Donc une station recevant ces trames directement ne saura pas la lire, à moins qu'elle ne sache faire du 802.1Q, comme quelques cartes ethernet recentes et cheres, et aussi le noyau linux si configuré pour <IMG SRC="images/smiles/icon_wink.gif"> Par contre, un swicth saura bien sur decoder cette trame, et l'envoyer uniquement aux ports concernes. Les ports trunk sont mis en place uniquement pour passer ce genre d'informations. Les autres protocoles dont tu parles peuvent passer par un port trunk, mais aussi par un port standard. VTP ets intimement lié à la gestion des vlans, puisque cela consiste à definir une base de vlans sur un swicth "maitre" et que celui-ci replique son information sur tous les swicthes du reseau. STP n'a rien à voir et fonctionne même quand il n'y a aps de vlans ni de trunk. C'ets un protocole qui permet d'eviter les boucles dans le reseau ethernet, en cas de redondance de liens entre les switches. Cela passe evidemment dans les ports trunks, puisque ce sont des trames de niveau 2 uniquement. De la même manière, on aurait pu citer CDP, qui permet aux equipements cisco de se parler pour s'echanger des infos entre eux. (à desactiver pour la securité selon moi ! ) Bon, je crois que l'on s'est ecarté du sujet... Pour notre ami, mettre un routeur serait le mieux. Sauf si son equipement permet de faire du routage intervlans (3550...), auquel cas il peut tou laisser sur un seul switch. Sinon, la configuration de 2 vlans plus un routeur au milieu (qui doit donc etre 802.1Q-aware !!!!) sur un port trunk, ou alors connecté avec une pate dans chaque vlan.... Le plus simple etant d'acheter un second switch si son equipement ne permet pas ces magouilles. <IMG SRC="images/smiles/icon_rolleyes.gif"> Thomas [edit] Format de trame 802.1Q : <a href="http://www.urec.cnrs.fr/cours/Liaison/vlan/sld043.htm" target="_blank">http://www.urec.cnrs.fr/cours/Liaison/vlan/sld043.htm</a> [/edit] _________________ <IMG SRC="http://louisstos.online.fr/images/xmas.gif"" BORDER="0"> "Unix is user friendly. He's just very picky about who his friends are... "

par **korosv** » 13 Jan 2004 13:16

Je ne pense pas m'être trompé ... peut être mal exprimé ... Pour moi ce que l'on désigne par Trunking, c'est uniquement le/les liens entre chaque éléments ... dans lequel on fait passer divers protocoles ... que j'ai cité à titre d'exemple, mais je n'ai surtout pas voulu dire que le Trunking correspondait uniquement au vlan de management ... Quand au vlan de management chez cisco c'est le vlan1 ...

par **EternalBytes** » 25 Mars 2005 09:53

KOROSV : Un port d'un siwtch ne peut appartenir qu'à un seul Vlan à la fois ....

C'est du Vlan de niveau 1 de 1997.
Maitenant tous les switchs modernes si tu regarde sur internet gère les vlans de niveau 1, 2 et 3.
Et les switchs ( si les cartes réseaux connectées aux ports sont compatibles 802.1Q : du 3com moyen gamme par exemple ) gèrent sur tous les ports 30 à 60 vlans ( et ce sans configurer un trunk sur le port, je tiens aussi à signaler que les trunks aujourd'hui fonctionnent avec des agregations de liens ). Les plus performants sont les 3com et le meilleure rapport qualité/prix reviendrai plutôt à HP.

par **EternalBytes** » 25 Mars 2005 09:54

Quand au vlan de management chez cisco c'est le vlan1 ...

Chez HP aussi le vlan de management est le 1

Infos sur le Traffic UDP

Qui est en ligne ?