Effectivement cela ressemble à de l'unknown unicast.
Cela arrive aussi dans le cas où le mac aging-time de ton switch est plus cours 
que L'ARP aging-time de la gateway avec du trafic non connecté.
Exemple : - ARP aging time 14400 (default cisco il me semble)- mac aging time 
300 (default cisco il me semble)- trafic SIP routé par la gateway vers le LAN
Si le destinataire (sur ton LAN) débranche son périphérique SIP, ta gateway va 
continuer d'envoyer du trafic SIP vers le destinataire alors que tes switch ont 
auront oublié la MAC destination au bout de 300 sec = unknown unicast.

Matthieu
> From: david.ponz...@gmail.com
> Date: Wed, 15 Jun 2016 20:27:54 +0200
> CC: s.c...@dsx-networks.com; frnog-t...@frnog.org
> To: earendil+fr...@toleressea.fr
> Subject: Re: [FRnOG] [TECH] Switch en mode hub?
> 
> Ce qui arrive en cas d’asymétrie, justement :)
> 
> 
> > Le 15 juin 2016 à 20:09, Ambroise <earendil+fr...@toleressea.fr> a écrit :
> > 
> > Si la table mac du switch ne possède pas une adresse mac, il "broadcast" le 
> > paquet à toutes les interfaces il me semble.
> > 
> > Une piste à regarder sur ton switch.
> > 
> > Ambroise 
> > 
> > Le 15 juin 2016 20:01:26 GMT+02:00, Sebastien Caps 
> > <s.c...@dsx-networks.com> a écrit :
> >> Bonjour,
> >> 
> >> je fais un tcpdump ('-e' pour avoir l'adresse Mac)
> >> 
> >> mon réseau interne: 192.168.0/23
> >> mon IP: 192.168.1.16
> >> ma Mac: 4c:72:b9:8a:26:c8
> >> 
> >> Switch HP 2530-24G directement relié sans mirror interface
> >> et comme vous pouvez le voir ci dessous je reçois des packets unicast 
> >> qui ne me sont pas destiné
> >> (ni a mon ip ni a ma Mac)
> >> je me demande pourquoi le switch envoi ces packets sur mon interface ?
> >> c'est logique et je peux aller revoir mes cours ?
> >> 
> >> une idée ??
> >> 
> >> Merci!
> >> Seb
> >> 
> >> # tcpdump -e -i eth0 -nn not host 192.168.1.16 and not broadcast and
> >> not 
> >> multicast
> >> tcpdump: verbose output suppressed, use -v or -vv for full protocol
> >> decode
> >> listening on eth0, link-type EN10MB (Ethernet), capture size 65535
> >> bytes
> >> 18:58:59.432828 00:0f:fe:ac:86:42 > 00:26:73:1d:35:99, ethertype IPv4 
> >> (0x0800), length 119: 192.168.0.63.1027 > 192.168.0.59.161: 
> >> GetRequest(62)  .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 
> >> .1.3.6.1.2.1.25.3.5.1.2.1
> >> 
> >> 18:59:01.081372 98:5f:d3:39:d1:d3 > 00:26:73:1d:c4:37, ethertype IPv4 
> >> (0x0800), length 180: 192.168.1.214.49668 > 192.168.0.56.161: 
> >> GetRequest(122) .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.1 
> >> .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.2 .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.3
> >> 
> >> .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.4 .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.5
> >> 
> >> 18:59:02.598983 00:90:7f:88:d4:2a > 6c:62:6d:9d:31:73, ethertype IPv4 
> >> (0x0800), length 106: 64.233.167.189.443 > 192.168.0.180.51603: Flags 
> >> [P.], seq 3722164861:3722164913, ack 516867778, win 537, length 52
> >> 
> >> 18:59:02.599788 00:90:7f:88:d4:2a > 6c:62:6d:9d:31:73, ethertype ARP 
> >> (0x0806), length 60: Request who-has 192.168.0.180 tell 192.168.0.4, 
> >> length 46
> >> 
> >> 18:59:14.392257 00:90:7f:88:d4:2a > 00:14:5e:69:22:a0, ethertype IPv4 
> >> (0x0800), length 74: 109.163.224.34.48017 > 192.168.0.70.80: Flags [S],
> >> 
> >> seq 2135788581, win 32120, options [mss 1460,sackOK,TS val 13653848 ecr
> >> 
> >> 83886080,nop,wscale 0], length 0
> >> 
> >> 
> >> ---------------------------
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> > 
> > ---------------------------
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
                                          
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à