Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1701 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Broadcast ARP, saturation du réseau

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Broadcast ARP, saturation du réseau

n°26082
astuce01
Posté le 30-09-2007 à 15:17:45  profilanswer
 

Bonjour,
 
J'ai dans mon réseau informatique composé d'environ 200 machines (2000, XP) des lenteurs qui apparaissent par moment, le réseau est saturé de trames ARP en broadcast.
 
J'ai bien sur d'abord débranché les machines concernées, mais d'autres prennent le relais (même le serveur active directory réplica).
 
L'antivirus sur les ordinateusr est à jour, j'ai testé avec un autre antivirus, rien....
Les pcs sont maintenues à jour avec un WSUS
Le réseau local est théoriquement bien protégé.
 
Avez-vous une idée pour solutionner ces lenteurs qui engendrent de gros problèmes (réseau saturé par moment)
 

mood
Publicité
Posté le 30-09-2007 à 15:17:45  profilanswer
 

n°26083
tifrere
Junos power
Posté le 30-09-2007 à 17:21:52  profilanswer
 

broadcast arp qui sature le réseau ?
 
hum tout de suite à première vue ca fait penser à une boucle de spanning tree, tu peux nous faire un schéma du niveau 2 de ton réseau ?  
 
edit : et nous dire quels switches du utilises ?


Message édité par tifrere le 30-09-2007 à 17:23:24
n°26084
astuce01
Posté le 30-09-2007 à 18:10:24  profilanswer
 

Le spnanning tree est activé sur tous les switchs (hp 2524 principalement).
Je ne pense pas que ça soit une boucle car les trames sont toutes différentes, ce qui est bizarre et ques j'ai oublié de préciser, les broadcast ARP (who has xxxxxx ? Tell me....) change à chaque fois avec des plages ip cohérente poru mon réseau mais sur des adresses qui n'existent pas vraiment.
 
Exemple fictif:
 
- Who has 192.168.1.10 tell 192.168.1.9
- Who has 192.168.1.11 tell 192.168.1.9
- Who has 12.168.1.15 tell 192.168.1.9
 
Etc..
 
Merci pour votre aide

n°26085
dreamer18
CDLM
Posté le 30-09-2007 à 18:16:02  profilanswer
 

ça sent le virus :/


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°26094
zbineulong​time
☱☱☱☱☱☱☱☱☱☱☱☱
Posté le 30-09-2007 à 19:54:21  profilanswer
 

Tu as des sondes ou une supervision de ton réseau ?


---------------
.
n°26098
astuce01
Posté le 30-09-2007 à 20:02:08  profilanswer
 

Rien pour superviser le réseau de particulier, pour voir les ralentissements je regardais au niveau du logiciel de gestion des switch HP pour voir l'encombrement.  
Pour vérifier les trames qui circulent j'utilise wireshark + etherape.
 
Pour le virus je ne pense pas trop (je n'exclue pas la piste) vu que j'ai un antivirus à jour (j'ai testé avec un autre antivirus sur une machine, rien de détecté) et les ordinateurs ont les derniers correctifs microsoft.
 
Je pense plus à un logiciel qui ferait ça où mauvais paramétrage réseau mais je vois pas.

n°26099
tifrere
Junos power
Posté le 30-09-2007 à 20:29:26  profilanswer
 

tu peux quand même tenter de virer les éventuelles boucles du réseau ?

n°26101
trictrac
Posté le 30-09-2007 à 22:59:49  profilanswer
 

premiere question:  
quand tu parles de saturation, tu parles en volume, ou en nombre de trames (ARP est indispensable,e t en avoir c'est normal, c-mais c'est des tous petits paquets).
Ensuite, la machine 192.168.1.9, c'est quoi ?
Ananlyse bien le traffic en question, mais je me demande si le seul problème c'est que c'est la première fois que tu lances un analyseur réseau sur ton poste, et tu es surpris de voir du traffic normal...

n°26109
astuce01
Posté le 01-10-2007 à 09:01:31  profilanswer
 

trictrac a écrit :

premiere question:  
quand tu parles de saturation, tu parles en volume, ou en nombre de trames (ARP est indispensable,e t en avoir c'est normal, c-mais c'est des tous petits paquets).
Ensuite, la machine 192.168.1.9, c'est quoi ?
Ananlyse bien le traffic en question, mais je me demande si le seul problème c'est que c'est la première fois que tu lances un analyseur réseau sur ton poste, et tu es surpris de voir du traffic normal...


 
Je parle en volume, les broadcast ARP représente plus de 90% du traffic, ce n'est pas la première fois que je lance une analyse de trame, et comme dit ce qui semble bizarre c'est la manière séquentielle dont les adresses sont testées.

n°26110
astuce01
Posté le 01-10-2007 à 09:39:30  profilanswer
 

Bon nouvelle information, j'ai demandé de vérifier les câbles réseaux car des nouveaux sous-répartiteurs ont été installés.
Suite à cette vérification 55 cordons doivent être changés (super).
 
Donc je vais attendre que tous soit changé pour continuer mon investigation
 

mood
Publicité
Posté le 01-10-2007 à 09:39:30  profilanswer
 

n°26162
astuce01
Posté le 01-10-2007 à 16:03:04  profilanswer
 

Bon changement des câbles, le problème persiste...

n°26164
tifrere
Junos power
Posté le 01-10-2007 à 16:12:31  profilanswer
 

y'orait pas un petit switch à la con quelque part qui aurait été installé sans que tu le saches ?
 
genre un user qui ramène le switch de chez lui etc

n°26171
Zboss
Si tu doutes, reboot...
Posté le 01-10-2007 à 16:32:09  profilanswer
 

Comme demandé plus haut, c'est toujours la même machine qui fait la demande ? Si oui, à quoi correspond l'ip 192.168.1.9 ?


---------------
Mario Kart for Ever
n°26186
astuce01
Posté le 01-10-2007 à 18:03:49  profilanswer
 

Alors ce n'est pas toujours la même machine, un switch installé à l'arrache je ne sais pas, disons que le réseau est répartit sur plusieurs bâtiments avec beaucoup de bureaux, donc assez dur à détecté.

n°26189
zbineulong​time
☱☱☱☱☱☱☱☱☱☱☱☱
Posté le 01-10-2007 à 18:44:12  profilanswer
 

Il n'y a pas un point d'interconnexion "sauvage" avec un autre réseau dont tu n'aurais pas connaissance ?


---------------
.
n°26191
M4vrick
Mad user
Posté le 01-10-2007 à 22:04:29  profilanswer
 

plutot que de chercher dans toutes les directions je te conseille de compartimenter ton reseau pendant tes tests. Tu isole un batiment ou un etage et tu regarde comment il se comporte, tu trouveras peu etre une source de probleme, s'il y as une boucle ou un switch qui merdouille au niveau spanning tree tu le verras rapidement.


---------------
--== M4vr|ck ==--
n°26209
Zboss
Si tu doutes, reboot...
Posté le 02-10-2007 à 09:21:26  profilanswer
 

Facile à dire mais pas toujours réalisable, même si c'est évidemment la bonne solution pour identifier la cause du pb.


---------------
Mario Kart for Ever
n°26212
M4vrick
Mad user
Posté le 02-10-2007 à 10:13:03  profilanswer
 

Il faut faire ca sur l'heure de midi ou en soirée. Ce n'est pas evident en effet mais ce genre de probleme n'est jamais facile a diagnostiquer.


---------------
--== M4vr|ck ==--
n°26215
gizmo31
Posté le 02-10-2007 à 11:29:58  profilanswer
 

tu as des VLAN sur ton réseau ou tout es à plat ??

n°26251
astuce01
Posté le 02-10-2007 à 20:46:00  profilanswer
 

Pas de VLAN, j'ai testé en isolant batiment par batiment, le problême c'est que la saturation n'arrive que ponctuellement.
 
 
Certains switchs ont détectés des erreurs CRC sur des liaisons fibre etc.. je vais vérifier les liaisons qui posent problème, peut être que ça résoudra mon problème.

n°26252
tifrere
Junos power
Posté le 02-10-2007 à 21:09:28  profilanswer
 

si tes switches sont manageable tu peux essayer la chose suivante :  
 
si tu es certains de n'avoir aucune boucle sur ton réseau, il y en a peut etre une mais tu n'es pas au courant donc sur les ports de tes switches qui sont censé ne pas être connectés à un switch (donc a défaut, à rien ou à un poste client), regarde le nombre d'adresses mac que tu vois sur ce port, si tu en voie plusieurs : 2 solutions :  
- soit un user à mis un switch et plusieurs machines sont dessus
- soit un user branches 2 machines différentes à intervalle régulier (genre il débranche le port réseau de son desktop pour y mettre son laptop)
 
Autre chose, coupe administrativement (shutdown quoi :D) tous les ports qui sont censé ne pas être utilisés pour éviter que n'importe qui branche n'importe quoi.
Si tes switches le peuvent, active le bpdu filter sur tous les ports qui ne doivent pas recevoir de trames spaning tree (donc les autres ports que les uplinks vers tes switches qui ont du spaning tree qui tourne quoi).
Met un spanning tree root guard (shutdown un port qui recoit une bpdu disant que le root spanning tree est joignable via ce port) aussi sur tous les ports clients et les ports qui ne sont pas des uplinks vers les autres switches de ton réseau.
 
tu peux faire ça sans géner la prod normalement mais à faire pas a pas.
 
Tu peux aussi désigner un root et un secondary root spanning tree et vérifier que c'est bien propagé sur tous tes switches (en comparant que le bridge id donné pour le root sur tous tes switches est bien celui sur lequel tu à mis le cout le plus bas : le root quoi).
edit : fait bien gaffe lorsque tu set à mano la priorité spaning tree pour pas mettre n'importe qui en root, utilise des multiples de 4096 pour configurer manuellement la priorité spaning tree de tes switches. exemple : 8192 pour le root et 16384 pour le secondary root (vérifies d'abord que les autres switches du réseau n'ont pas eu par défaut de configuré une meilleure priorité : cout plus bas).
 
Avant de shutdown un port (meme si tu pense que rien ne dois etre connecté dessus), vérifie qu'il n'est pas up : peut etre ya un truc en prod dessus mais qui n'est pas documenté chez toi.
 
Essaies ces quelques pistes et reviens vers nous ;)


Message édité par tifrere le 03-10-2007 à 08:13:25
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Broadcast ARP, saturation du réseau

 

Sujets relatifs
Nagios et les toners des imprimantes reseauLenteur reseau local utilisé @65% sous windows
Un câble réseau de plus de 100m pour relier deux bâtiments ?Migration serveur 2000 -> 2003 OK mais grosse lenteur reseau
Étendre un réseau grâce à un routeur sans fil.pouvez vous m'aider pour un reseau?
Infrastructure réseau sécuriséPont (Bridge) réseau sous 2003 Serveur.
Plus de sujets relatifs à : Broadcast ARP, saturation du réseau


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR