Bonjour tout le monde,
 
Petite question à 10€.
Si on veut mettre un firewall redondant (donc deux firewalls identiques) entre plusieurs réseaux interne et qu'on utilise le spanning tree pour gérer les liens entre ces réseaux et ces firewall, faut il ouvrir des ports spécifiques ou activer des options spécifiquesdans les firewall pour que les requetes du spanning tree puissent passer à travers ???
 
 
 
merci

je pense qu'il faut activer des options spéciales, sinon les requetes du spannigtree pourraient être considérées comme des attaques.
 
Mais le mieux que tu ais a faire c'est d'intaller "comme ca" et d'analyser comment sont "reconnues" les requetes de tes switchs.
 
tiens nous au courant, c une bonne question !!!

Bonjour,  
 
Le spanning tree est un protocole de niveau 2 permettant d'eviter des boucles sur un réseau ethernet (tout le monde n'a pas la chance d'etre en token ring ;-)).  
 
Normalement ton firewall (niveau 3 IP) ne doit pas les voirs car ton switch doit etre configurés pour ne faire circuler le spanning tree uniquement sur les liens trunks (liens inter-switchs).
 
A moins que ton firewall soit un pont filtrant (ou bridge filter) , et dans ce cas la ton pont filtrant participe au spanning tree, et doit etre en mesure de ne pas considérer ça comme des attaques, sinon change de crémerie.

ouai c'est un pont transparent.... le pont filtrant c'est OpenBSD
donc le spanning tree doit pouvoir passer à traver sinon pas marcher... arg

Héhé, je doit être devin en réseau ...
 
Dommage car OpenBSD ipf/bridge ne semble pas gérer les protocoles de niveaux 2 comme linux ebtables/bridge. A priori il est plutot limité sur le filtrage de niveau 2. (http://www.openbsd.org/papers/bridgepaper.pdf).
 
Solution a deux eurocents : tu connectes tes firewalls sur des HUBS (j'ai bien dit HUB) et tu force le root-bridge vers la porte du switchs connectée aux hubs. Ce qui aurra pour effet de diriger le flux de niveau 2 toujours vers les pattes des firewalls (bien entendue que le flux non identifié par les switchs, norme spanning tree).

euh, y a une options pour l'interface bridge0 (l'interface qui regoupe mes 3 interfaces réseaux qui forme le pont) qui permet de gérer le spanning tree apparement..
 

 
 
je vais faire des tests, mais c'est chaud chaud..

Bonne chance ... mais je pense plutot que ton probleme va se trouver du coté d'ipf, car il semble ne pas savoir filtré le niveau 2.
Tient moi au courant, car ça m'interesse.

bon ben ça à l'air de passer. de plus un gars explique la manip ce qui confirme que ça doit marcher sur OpenBSD :
 
http://seattlecentral.edu/faculty/ [...] ridge.html
 
Voici un petit schema qui resume ma situation :
 

 
 
Comme vous le voyez, j'ai compliqué les choses en séparant le réseau en 2 vlan. Donc j'ai fais des tests avec un seul VLAN connecté et le spanning tree marche super bien dans tous les cas de figure, meme si c'est un peu long à switcher. Par contre j'ai connecté le 2eme vlan, et là, ça marche pas, un simple ping ne passe meme pas. ça va etre chaud je sens. (en pointillé c'est le stp)

 
arg, j'étais vraiment pas frais quand j'ai écris cette merde !!

 
 
Tres interssant ton tutoriel ... c'est tout a fait ce qui me manquait ...  
Par contre pour ton histoire de vlan ... ça ne devrait pas marcher car tu ne fait plus de bridge mais un trunk (vlan taggué) ... et d'apres ce que j'ai vue dans le tuto ... ça ne marche que sur un port normal donc juste un vlan (non taggué) à la fois. Sinon une carte réseau par vlan ... mais ça revient cher donc autant utiliser un routeur avec bridge vlan et les ACLs qui vont bien.

okay, mais j'ai une carte réseau par VLAN, donc explique moi comment je pourrais faire stp !! stp !! en fait j'ai rien compris au principe des vlan taggé et pas taggé. Ceux que j'ai créer sont Untagged.
 
merci,

Bonjour,  
 
Pour les VLANs taggué ou non cela dépend de ta config. Le principe est qu'on peut transporter plusieurs VLANs sur le même lien Ethernet, on parle alors de trunk. Pour pouvoir séparer les flux les trames sont tagguées, c'est a dire marquées avec un en-tête pour que l'équipement de l'autre coté puisse les distinguer et les remettent dans le bon VLAN.
 
Pour ton probléme je serai tenté de dire une paire de carte réseau par VLAN que tu doit faire passé. Ces couples de cartes sont sur un bridge différents. Et après suivre le tutoriel cité plus tot.
 
 

bon j'ai pas tout compris, alors j'ai fais un ptit schema qui resume ma situation.  
si qqun pouvait me dire si ce que je veux faire est possible ou pas.. merci