Bonjour,
 
J'ai dans mon réseau informatique composé d'environ 200 machines (2000, XP) des lenteurs qui apparaissent par moment, le réseau est saturé de trames ARP en broadcast.
 
J'ai bien sur d'abord débranché les machines concernées, mais d'autres prennent le relais (même le serveur active directory réplica).
 
L'antivirus sur les ordinateusr est à jour, j'ai testé avec un autre antivirus, rien....
Les pcs sont maintenues à jour avec un WSUS
Le réseau local est théoriquement bien protégé.
 
Avez-vous une idée pour solutionner ces lenteurs qui engendrent de gros problèmes (réseau saturé par moment)
 

broadcast arp qui sature le réseau ?
 
hum tout de suite à première vue ca fait penser à une boucle de spanning tree, tu peux nous faire un schéma du niveau 2 de ton réseau ?  
 
edit : et nous dire quels switches du utilises ?

Le spnanning tree est activé sur tous les switchs (hp 2524 principalement).
Je ne pense pas que ça soit une boucle car les trames sont toutes différentes, ce qui est bizarre et ques j'ai oublié de préciser, les broadcast ARP (who has xxxxxx ? Tell me....) change à chaque fois avec des plages ip cohérente poru mon réseau mais sur des adresses qui n'existent pas vraiment.
 
Exemple fictif:
 
- Who has 192.168.1.10 tell 192.168.1.9
- Who has 192.168.1.11 tell 192.168.1.9
- Who has 12.168.1.15 tell 192.168.1.9
 
Etc..
 
Merci pour votre aide

ça sent le virus

Tu as des sondes ou une supervision de ton réseau ?

Rien pour superviser le réseau de particulier, pour voir les ralentissements je regardais au niveau du logiciel de gestion des switch HP pour voir l'encombrement.  
Pour vérifier les trames qui circulent j'utilise wireshark + etherape.
 
Pour le virus je ne pense pas trop (je n'exclue pas la piste) vu que j'ai un antivirus à jour (j'ai testé avec un autre antivirus sur une machine, rien de détecté) et les ordinateurs ont les derniers correctifs microsoft.
 
Je pense plus à un logiciel qui ferait ça où mauvais paramétrage réseau mais je vois pas.

tu peux quand même tenter de virer les éventuelles boucles du réseau ?

premiere question:  
quand tu parles de saturation, tu parles en volume, ou en nombre de trames (ARP est indispensable,e t en avoir c'est normal, c-mais c'est des tous petits paquets).
Ensuite, la machine 192.168.1.9, c'est quoi ?
Ananlyse bien le traffic en question, mais je me demande si le seul problème c'est que c'est la première fois que tu lances un analyseur réseau sur ton poste, et tu es surpris de voir du traffic normal...

 
Je parle en volume, les broadcast ARP représente plus de 90% du traffic, ce n'est pas la première fois que je lance une analyse de trame, et comme dit ce qui semble bizarre c'est la manière séquentielle dont les adresses sont testées.

Bon nouvelle information, j'ai demandé de vérifier les câbles réseaux car des nouveaux sous-répartiteurs ont été installés.
Suite à cette vérification 55 cordons doivent être changés (super).
 
Donc je vais attendre que tous soit changé pour continuer mon investigation
 

Bon changement des câbles, le problème persiste...

y'orait pas un petit switch à la con quelque part qui aurait été installé sans que tu le saches ?
 
genre un user qui ramène le switch de chez lui etc

Comme demandé plus haut, c'est toujours la même machine qui fait la demande ? Si oui, à quoi correspond l'ip 192.168.1.9 ?

Alors ce n'est pas toujours la même machine, un switch installé à l'arrache je ne sais pas, disons que le réseau est répartit sur plusieurs bâtiments avec beaucoup de bureaux, donc assez dur à détecté.

Il n'y a pas un point d'interconnexion "sauvage" avec un autre réseau dont tu n'aurais pas connaissance ?

plutot que de chercher dans toutes les directions je te conseille de compartimenter ton reseau pendant tes tests. Tu isole un batiment ou un etage et tu regarde comment il se comporte, tu trouveras peu etre une source de probleme, s'il y as une boucle ou un switch qui merdouille au niveau spanning tree tu le verras rapidement.

Facile à dire mais pas toujours réalisable, même si c'est évidemment la bonne solution pour identifier la cause du pb.

Il faut faire ca sur l'heure de midi ou en soirée. Ce n'est pas evident en effet mais ce genre de probleme n'est jamais facile a diagnostiquer.

tu as des VLAN sur ton réseau ou tout es à plat ??

Pas de VLAN, j'ai testé en isolant batiment par batiment, le problême c'est que la saturation n'arrive que ponctuellement.
 
 
Certains switchs ont détectés des erreurs CRC sur des liaisons fibre etc.. je vais vérifier les liaisons qui posent problème, peut être que ça résoudra mon problème.

si tes switches sont manageable tu peux essayer la chose suivante :  
 
si tu es certains de n'avoir aucune boucle sur ton réseau, il y en a peut etre une mais tu n'es pas au courant donc sur les ports de tes switches qui sont censé ne pas être connectés à un switch (donc a défaut, à rien ou à un poste client), regarde le nombre d'adresses mac que tu vois sur ce port, si tu en voie plusieurs : 2 solutions :  
- soit un user à mis un switch et plusieurs machines sont dessus
- soit un user branches 2 machines différentes à intervalle régulier (genre il débranche le port réseau de son desktop pour y mettre son laptop)
 
Autre chose, coupe administrativement (shutdown quoi ) tous les ports qui sont censé ne pas être utilisés pour éviter que n'importe qui branche n'importe quoi.
Si tes switches le peuvent, active le bpdu filter sur tous les ports qui ne doivent pas recevoir de trames spaning tree (donc les autres ports que les uplinks vers tes switches qui ont du spaning tree qui tourne quoi).
Met un spanning tree root guard (shutdown un port qui recoit une bpdu disant que le root spanning tree est joignable via ce port) aussi sur tous les ports clients et les ports qui ne sont pas des uplinks vers les autres switches de ton réseau.
 
tu peux faire ça sans géner la prod normalement mais à faire pas a pas.
 
Tu peux aussi désigner un root et un secondary root spanning tree et vérifier que c'est bien propagé sur tous tes switches (en comparant que le bridge id donné pour le root sur tous tes switches est bien celui sur lequel tu à mis le cout le plus bas : le root quoi).
edit : fait bien gaffe lorsque tu set à mano la priorité spaning tree pour pas mettre n'importe qui en root, utilise des multiples de 4096 pour configurer manuellement la priorité spaning tree de tes switches. exemple : 8192 pour le root et 16384 pour le secondary root (vérifies d'abord que les autres switches du réseau n'ont pas eu par défaut de configuré une meilleure priorité : cout plus bas).
 
Avant de shutdown un port (meme si tu pense que rien ne dois etre connecté dessus), vérifie qu'il n'est pas up : peut etre ya un truc en prod dessus mais qui n'est pas documenté chez toi.
 
Essaies ces quelques pistes et reviens vers nous