Bonsoir,
Fabien Sirjean (Mon 2024-04-22 18:08:33 +0200) :
> Par contre sur les ports edge (ceux où sont connectés les users, ceux qui
> font peur et qui branchent/débranchent leurs équipements en permanence)
> c'est un risque sérieux.
>
> Si je suis ta logique, on souhaite donc uniquement détecter une boucle sur
> les ports edge. Comment on fait ça proprement, sans se lancer dans du
> spanning-tree sur l'infra ?
Chez Procurve, il y a loop-protect.
Chez nous, nous voulions nous prémunir du câble branché entre deux
prises murales (faut vraiment vouloir) mais surtout nous prémunir
d'une boucle faite sur un mini-switch non manageable connecté sur un
port (vu régulièrement).
Pour bloquer le port (action par défaut) pendant une
temporisation p. ex. de 5' (300 s), qui se répètera tant que le
problème n'aura pas disparu :
loop-protect <liste ports>
loop-protect disable-timer 300
Ou alors une temporisation de zéro, c.-à-d. que le port restera
indéfiniment bloqué tant que l'admin ne l'aura pas débloqué
(pédagogie). ;-). La temporisation de 0 est la valeur par défaut :
loop-protect <liste ports>
loop-protect disable-timer 0
La doc HP mentionne que cette technique est plus sûre que la
protection BPDU, car un équipement comme un mini-switch pourrait dans
certains cas dropper les paquets BPDU.
Bonne soirée,
--
Emmanuel Halbwachs, Observatoire de Paris, ✆ +33 1 45 07 75 54
DIO¹ / CASTORS² 🦫 / PANDA³ 🐼
¹ Direction Informatique de l'Observatoire ; ² CAlcul, STOckage, Réseau, Système
³ Pool of Awesome Network Devices Administrators
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
