Téléchargez le document dans son intégralité à : http://oran.ge/1d1S5ep
Sans sécurité de fonctionnement, sans protection contre les hackers, aucun réseau d'entreprise ne peut fonctionner durablement. Ceci inclut les switches. Toute personne ayant pratiqué les réseaux d'entreprise a entendu parler du " Spanning Tree ", qui permet de faire fonctionner un réseau de switches avec des liens de secours. Alors, quels sont les risques autour du Spanning Tree, et comment peut-on éviter les ennuis ?
Téléchargez le document dans son intégralité à : http://oran.ge/1d1S5ep
2. spanning tree le temps d’un café
Sans sécurité de fonctionnement, sans protection contre
les hackers, aucun réseau d’entreprise ne peut fonctionner
durablement. Ceci inclut les switches. Toute personne ayant
pratiqué les réseaux d’entreprise a entendu parler du « Spanning
Tree », qui permet de faire fonctionner un réseau de switches
avec des liens de secours. C’est très simple : Spanning Tree
détecte les boucles et ferme les liens en excédent. Du coup, les
liens actifs forment un graphe en arbre, d’où son nom « arbre de
recouvrement ».
Beaucoup pensent que, puisque Spanning Tree élimine les
boucles, il n’y aura pas de tempêtes de diffusion. Le problème,
c’est qu’il y en a quand même. Et quand il y a une tempête,
Spanning Tree ne fonctionne plus. Il gaspille aussi de la bande
passante, il ne marche pas toujours comme prévu et il n’est pas
adapté à de grand réseaux. Pire encore, il peut facilement être
trompé par un hacker. De plus, la configuration par défaut est
rarement satisfaisante, le diable est dans les détails.
Pour les personnes qui faisaient déjà du réseau en 2002,
vous souvenez-vous du crash réseau d’un important centre
hospitalier et universitaire de Boston, le Beth Israel Diaconess
Medical Center ? Il reposait sur un réseau de switches. Eh
bien, Spanning Tree n’était pas parvenu à éliminer une boucle.
La panne a duré 4 jours. Le fonctionnement du centre reposait
sur le téléphone (par chance, il n’était pas sur IP à l’époque)
et un réseau de… coursiers. Heureusement, il n’y a pas eu de
victimes. Le responsable de l’IT a même eu de la promotion.
Alors, quels sont les risques autour du Spanning Tree, et
comment peut-on éviter les ennuis ?
Pascal Bonnard
édito
2
3. sommaire
les boucles et les tempêtes :
STP et comment s’en dispenser
spanning-tree, et si l’on
se permettait un complément ?
les boucles :
j’en remets une couche !
les VLAN pour les nuls :
je configure les VLAN de mes trunks bien propres
3 spanning tree le temps d’un café
4. 4 spanning tree le temps d’un café
les boucles et les
tempêtes : STP et
comment s’en dispenser
par Pascal Bonnard
Le morceau de bravoure des réseaux de switches, c’est le
Spanning Tree Protocol (STP) ou plutôt, les divers avatars de ce
protocole. Il s’agit de régler un problème banal :
comment construire un réseau
de switches redondant et qui
fonctionne ?
En effet, si on tente de construire par exemple un triangle ou
un carré de switches, on constate qu’il devient très rapidement
inutilisable parce qu’on crée ainsi une boucle de niveau 2 dans
laquelle certaines trames tournent infiniment en consommant
une bonne partie des ressources. Le réseau ne fonctionne plus.
C’est ce qu’on appelle une tempête de diffusion..
Il est toujours possible qu’une boucle soit créée suite à un
câblage intempestif : encore Gaston ! Il s’est mis à quatre pattes
sous les bureaux et il a relié entre elles deux prises murales RJ45
par un câble croisé. Sur le terrain, la meilleure façon d’éviter
les problèmes, c’est encore d’empêcher que les PC puissent
communiquer entre eux au niveau 2.
5. 5 spanning tree le temps d’un café
le STP à la rescousse... ou
presque !
Mais cela ne permet pas de relier des switches pour former
un carré. Pour que cela fonctionne, on a créé STP. Au sein du
réseau de switches, STP établit et calcule dynamiquement
un arbre en désactivant les liaisons redondantes. Si la forme
du réseau change, l’arbre est recalculé, cela prend quelques
secondes (mais pendant ce temps, le réseau ne marche pas
bien).
STP fonctionne en échangeant des informations à l’aide de
trames spéciales, les BPDU. Tant que cela marche, c’est parfait.
Mais au cas où quelque chose irait de travers, le réseau devient
instable et il est très difficile de faire un diagnostic. Il est donc
recommandé de documenter avec la plus
grande précision l’état “normal” du réseau,
en repérant l’état de chaque liaison, de façon
à savoir où intervenir. Et il est nécessaire
d’instaurer des procédures strictes de câblage.
Laissez-moi vous conter un fait réel : sur
un site, suite à la demande insistante des
utilisateurs, j’ai autorisé la mise en œuvre de
STP. Eh bien, ce site est devenu indisponible
pendant plus d’une heure suite à une erreur humaine (non, ce
coup-ci, ce n’était pas Gaston). Et on ne compte pas les réseaux
qui se sont effondrés parce que quelqu’un avait branché un
“vieux” switch de récupération. Ceux-ci ont de fortes chances
de devenir la racine de l’arbre calculé par STP.
à savoir
Il est recommandé de
documenter avec la plus
grande précision l’état
“normal” du réseau, en
repérant l’état de chaque
liaison, de façon à savoir où
intervenir.
6. spanning tree le temps d’un café6
Le blog :
http://www.orange-business.com/fr/blogs/securite
téléchargez
le document
intégral sur
http://oran.ge/1d1S5epgratuit