+1 J comprends toujours pas pourquoi ils mettent par défaut des timers si bas (généralement 5 min) alors que les timers arp sont a 20 min par défaut. Et baisser les timers arp est souvent une mauvaise idée. Sur du vieux matos en cas de burst ca drop , limitations sur le arp inspection Cisco par exemple,etc Pour revenir au timer des tables de mac, ca peut aussi poser problème avec du multicast. Déjà eu le cas avec des abos statiques vers des machines qui ne faisaient que du arp toutes les 20 min. Au bout de 5 min, expiration des mac adress --> flood des flux sur tous les ports du vlan. Et généralement les switchs savent gèrer au moins 8k mac. Faut pas hésiter à augmenter les timers :)
--- Pierre Lancastre Ingénieur Réseaux et Sécurité *-* SENSS - AS59798 *-* +33 7 64 07 26 11 Le 15 juin 2017 21:47, "Raphael Mazelier" <r...@futomaki.net> a écrit : > > > On 15/06/2017 19:57, footp...@gmail.com wrote: > >> Bonjour, >> Mh, mais ces gens là ont bien des sessions BGP avec des routes connected >> non ? >> >> Et du coup du traffic sourcé par leur port, au moins des ACK ? >> >> > Lis le document. C'est très bien expliqué même si difficile à comprendre > de prime abord. > > Le problème peut arriver si un peer A envoi du trafic à un autre peer B > sans que A et B aient de sessions BGP (ils peerent juste avec les RS sinon > en effet il y aurait un peu de traf BGP bi-directionnel) et que B utilise > un autre path. Si A a un table ARP avec un timer un peu long (genre 4h) il > connaît la mac de B pendant ce temps, pas la peine de faire de une requête > ARP. Si le switch a un timer de mac-address-table inférieur (et c'est > souvent le cas), pendant le delta, le switch n'a pas le choix et doit > flooder. Comme personne ne lui répond il n'a aucun moyen de savoir comment > associer la bonne mac au bon port. > > De la nécessité de mettre des pingers sur les IX (ce qui est peut être le > cas je dis pas, c'est peu être autre chose). > > L'unknown unicast toujours un plaisir. (hein jph) > J'ai eu des archis L2 bien flat ou j'avais jusqu'à 1Gbps ce qui m'a un peu > obligé à revoir mes timers :) > > -- > Raphael Mazelier > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
