RE: [FRnOG] [TECH] Switch en mode hub?

[Michel Py]

> Sébastien Caps a écrit :
> je vais creuser mais en effet a certains endroit du réseau il y a du 10G et à 
> d'autre il
> reste aussi 5-6 appareils en 10Mb! Sinon la table de Mac pleine est une piste 
> également

S'il y avait une solution miracle, quelqu'un te l'aurait vendue !

Question : Monsieur, pourquoi je vois le trafic du VLAN x quand je mets mon 
Wireshark sur un port de VLAN y ?

Zat is ze question.
Bienvenue au club.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switch en mode hub?

[Sébastien Caps]

je vais creuser mais en effet a certains endroit du réseau il y a du 10G
et à d'autre il reste aussi 5-6 appareils en 10Mb!
Sinon la table de Mac pleine est une piste également

Bref merci pou vos réponses :)

Seb

Le 15/06/2016 20:27, David Ponzone a écrit :

Ce qui arrive en cas d’asymétrie, justement :)



Le 15 juin 2016 à 20:09, Ambroise  a écrit :

Si la table mac du switch ne possède pas une adresse mac, il "broadcast" le 
paquet à toutes les interfaces il me semble.

Une piste à regarder sur ton switch.

Ambroise

Le 15 juin 2016 20:01:26 GMT+02:00, Sebastien Caps  a 
écrit :

Bonjour,

je fais un tcpdump ('-e' pour avoir l'adresse Mac)

mon réseau interne: 192.168.0/23
mon IP: 192.168.1.16
ma Mac: 4c:72:b9:8a:26:c8

Switch HP 2530-24G directement relié sans mirror interface
et comme vous pouvez le voir ci dessous je reçois des packets unicast
qui ne me sont pas destiné
(ni a mon ip ni a ma Mac)
je me demande pourquoi le switch envoi ces packets sur mon interface ?
c'est logique et je peux aller revoir mes cours ?

une idée ??

Merci!
Seb

# tcpdump -e -i eth0 -nn not host 192.168.1.16 and not broadcast and
not
multicast
tcpdump: verbose output suppressed, use -v or -vv for full protocol
decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535
bytes
18:58:59.432828 00:0f:fe:ac:86:42 > 00:26:73:1d:35:99, ethertype IPv4
(0x0800), length 119: 192.168.0.63.1027 > 192.168.0.59.161:
GetRequest(62)  .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1
.1.3.6.1.2.1.25.3.5.1.2.1

18:59:01.081372 98:5f:d3:39:d1:d3 > 00:26:73:1d:c4:37, ethertype IPv4
(0x0800), length 180: 192.168.1.214.49668 > 192.168.0.56.161:
GetRequest(122) .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.1
.1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.2 .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.3

.1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.4 .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.5

18:59:02.598983 00:90:7f:88:d4:2a > 6c:62:6d:9d:31:73, ethertype IPv4
(0x0800), length 106: 64.233.167.189.443 > 192.168.0.180.51603: Flags
[P.], seq 3722164861:3722164913, ack 516867778, win 537, length 52

18:59:02.599788 00:90:7f:88:d4:2a > 6c:62:6d:9d:31:73, ethertype ARP
(0x0806), length 60: Request who-has 192.168.0.180 tell 192.168.0.4,
length 46

18:59:14.392257 00:90:7f:88:d4:2a > 00:14:5e:69:22:a0, ethertype IPv4
(0x0800), length 74: 109.163.224.34.48017 > 192.168.0.70.80: Flags [S],

seq 2135788581, win 32120, options [mss 1460,sackOK,TS val 13653848 ecr

83886080,nop,wscale 0], length 0


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Switch en mode hub?

[matthieu flye]

Effectivement cela ressemble à de l'unknown unicast.
Cela arrive aussi dans le cas où le mac aging-time de ton switch est plus cours 
que L'ARP aging-time de la gateway avec du trafic non connecté.
Exemple : - ARP aging time 14400 (default cisco il me semble)- mac aging time 
300 (default cisco il me semble)- trafic SIP routé par la gateway vers le LAN
Si le destinataire (sur ton LAN) débranche son périphérique SIP, ta gateway va 
continuer d'envoyer du trafic SIP vers le destinataire alors que tes switch ont 
auront oublié la MAC destination au bout de 300 sec = unknown unicast.

Matthieu
> From: david.ponz...@gmail.com
> Date: Wed, 15 Jun 2016 20:27:54 +0200
> CC: s.c...@dsx-networks.com; frnog-t...@frnog.org
> To: earendil+fr...@toleressea.fr
> Subject: Re: [FRnOG] [TECH] Switch en mode hub?
> 
> Ce qui arrive en cas d’asymétrie, justement :)
> 
> 
> > Le 15 juin 2016 à 20:09, Ambroise <earendil+fr...@toleressea.fr> a écrit :
> > 
> > Si la table mac du switch ne possède pas une adresse mac, il "broadcast" le 
> > paquet à toutes les interfaces il me semble.
> > 
> > Une piste à regarder sur ton switch.
> > 
> > Ambroise 
> > 
> > Le 15 juin 2016 20:01:26 GMT+02:00, Sebastien Caps 
> > <s.c...@dsx-networks.com> a écrit :
> >> Bonjour,
> >> 
> >> je fais un tcpdump ('-e' pour avoir l'adresse Mac)
> >> 
> >> mon réseau interne: 192.168.0/23
> >> mon IP: 192.168.1.16
> >> ma Mac: 4c:72:b9:8a:26:c8
> >> 
> >> Switch HP 2530-24G directement relié sans mirror interface
> >> et comme vous pouvez le voir ci dessous je reçois des packets unicast 
> >> qui ne me sont pas destiné
> >> (ni a mon ip ni a ma Mac)
> >> je me demande pourquoi le switch envoi ces packets sur mon interface ?
> >> c'est logique et je peux aller revoir mes cours ?
> >> 
> >> une idée ??
> >> 
> >> Merci!
> >> Seb
> >> 
> >> # tcpdump -e -i eth0 -nn not host 192.168.1.16 and not broadcast and
> >> not 
> >> multicast
> >> tcpdump: verbose output suppressed, use -v or -vv for full protocol
> >> decode
> >> listening on eth0, link-type EN10MB (Ethernet), capture size 65535
> >> bytes
> >> 18:58:59.432828 00:0f:fe:ac:86:42 > 00:26:73:1d:35:99, ethertype IPv4 
> >> (0x0800), length 119: 192.168.0.63.1027 > 192.168.0.59.161: 
> >> GetRequest(62)  .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 
> >> .1.3.6.1.2.1.25.3.5.1.2.1
> >> 
> >> 18:59:01.081372 98:5f:d3:39:d1:d3 > 00:26:73:1d:c4:37, ethertype IPv4 
> >> (0x0800), length 180: 192.168.1.214.49668 > 192.168.0.56.161: 
> >> GetRequest(122) .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.1 
> >> .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.2 .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.3
> >> 
> >> .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.4 .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.5
> >> 
> >> 18:59:02.598983 00:90:7f:88:d4:2a > 6c:62:6d:9d:31:73, ethertype IPv4 
> >> (0x0800), length 106: 64.233.167.189.443 > 192.168.0.180.51603: Flags 
> >> [P.], seq 3722164861:3722164913, ack 516867778, win 537, length 52
> >> 
> >> 18:59:02.599788 00:90:7f:88:d4:2a > 6c:62:6d:9d:31:73, ethertype ARP 
> >> (0x0806), length 60: Request who-has 192.168.0.180 tell 192.168.0.4, 
> >> length 46
> >> 
> >> 18:59:14.392257 00:90:7f:88:d4:2a > 00:14:5e:69:22:a0, ethertype IPv4 
> >> (0x0800), length 74: 109.163.224.34.48017 > 192.168.0.70.80: Flags [S],
> >> 
> >> seq 2135788581, win 32120, options [mss 1460,sackOK,TS val 13653848 ecr
> >> 
> >> 83886080,nop,wscale 0], length 0
> >> 
> >> 
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switch en mode hub?

[David Ponzone]

Ce qui arrive en cas d’asymétrie, justement :)


> Le 15 juin 2016 à 20:09, Ambroise  a écrit :
> 
> Si la table mac du switch ne possède pas une adresse mac, il "broadcast" le 
> paquet à toutes les interfaces il me semble.
> 
> Une piste à regarder sur ton switch.
> 
> Ambroise 
> 
> Le 15 juin 2016 20:01:26 GMT+02:00, Sebastien Caps  
> a écrit :
>> Bonjour,
>> 
>> je fais un tcpdump ('-e' pour avoir l'adresse Mac)
>> 
>> mon réseau interne: 192.168.0/23
>> mon IP: 192.168.1.16
>> ma Mac: 4c:72:b9:8a:26:c8
>> 
>> Switch HP 2530-24G directement relié sans mirror interface
>> et comme vous pouvez le voir ci dessous je reçois des packets unicast 
>> qui ne me sont pas destiné
>> (ni a mon ip ni a ma Mac)
>> je me demande pourquoi le switch envoi ces packets sur mon interface ?
>> c'est logique et je peux aller revoir mes cours ?
>> 
>> une idée ??
>> 
>> Merci!
>> Seb
>> 
>> # tcpdump -e -i eth0 -nn not host 192.168.1.16 and not broadcast and
>> not 
>> multicast
>> tcpdump: verbose output suppressed, use -v or -vv for full protocol
>> decode
>> listening on eth0, link-type EN10MB (Ethernet), capture size 65535
>> bytes
>> 18:58:59.432828 00:0f:fe:ac:86:42 > 00:26:73:1d:35:99, ethertype IPv4 
>> (0x0800), length 119: 192.168.0.63.1027 > 192.168.0.59.161: 
>> GetRequest(62)  .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 
>> .1.3.6.1.2.1.25.3.5.1.2.1
>> 
>> 18:59:01.081372 98:5f:d3:39:d1:d3 > 00:26:73:1d:c4:37, ethertype IPv4 
>> (0x0800), length 180: 192.168.1.214.49668 > 192.168.0.56.161: 
>> GetRequest(122) .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.1 
>> .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.2 .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.3
>> 
>> .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.4 .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.5
>> 
>> 18:59:02.598983 00:90:7f:88:d4:2a > 6c:62:6d:9d:31:73, ethertype IPv4 
>> (0x0800), length 106: 64.233.167.189.443 > 192.168.0.180.51603: Flags 
>> [P.], seq 3722164861:3722164913, ack 516867778, win 537, length 52
>> 
>> 18:59:02.599788 00:90:7f:88:d4:2a > 6c:62:6d:9d:31:73, ethertype ARP 
>> (0x0806), length 60: Request who-has 192.168.0.180 tell 192.168.0.4, 
>> length 46
>> 
>> 18:59:14.392257 00:90:7f:88:d4:2a > 00:14:5e:69:22:a0, ethertype IPv4 
>> (0x0800), length 74: 109.163.224.34.48017 > 192.168.0.70.80: Flags [S],
>> 
>> seq 2135788581, win 32120, options [mss 1460,sackOK,TS val 13653848 ecr
>> 
>> 83886080,nop,wscale 0], length 0
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switch en mode hub?

[Ambroise]

Si la table mac du switch ne possède pas une adresse mac, il "broadcast" le 
paquet à toutes les interfaces il me semble.

Une piste à regarder sur ton switch.

Ambroise 

Le 15 juin 2016 20:01:26 GMT+02:00, Sebastien Caps  a 
écrit :
>Bonjour,
>
>je fais un tcpdump ('-e' pour avoir l'adresse Mac)
>
>mon réseau interne: 192.168.0/23
>mon IP: 192.168.1.16
>ma Mac: 4c:72:b9:8a:26:c8
>
>Switch HP 2530-24G directement relié sans mirror interface
>et comme vous pouvez le voir ci dessous je reçois des packets unicast 
>qui ne me sont pas destiné
>(ni a mon ip ni a ma Mac)
>je me demande pourquoi le switch envoi ces packets sur mon interface ?
>c'est logique et je peux aller revoir mes cours ?
>
>une idée ??
>
>Merci!
>Seb
>
># tcpdump -e -i eth0 -nn not host 192.168.1.16 and not broadcast and
>not 
>multicast
>tcpdump: verbose output suppressed, use -v or -vv for full protocol
>decode
>listening on eth0, link-type EN10MB (Ethernet), capture size 65535
>bytes
>18:58:59.432828 00:0f:fe:ac:86:42 > 00:26:73:1d:35:99, ethertype IPv4 
>(0x0800), length 119: 192.168.0.63.1027 > 192.168.0.59.161: 
>GetRequest(62)  .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 
>.1.3.6.1.2.1.25.3.5.1.2.1
>
>18:59:01.081372 98:5f:d3:39:d1:d3 > 00:26:73:1d:c4:37, ethertype IPv4 
>(0x0800), length 180: 192.168.1.214.49668 > 192.168.0.56.161: 
>GetRequest(122) .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.1 
>.1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.2 .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.3
>
>.1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.4 .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.5
>
>18:59:02.598983 00:90:7f:88:d4:2a > 6c:62:6d:9d:31:73, ethertype IPv4 
>(0x0800), length 106: 64.233.167.189.443 > 192.168.0.180.51603: Flags 
>[P.], seq 3722164861:3722164913, ack 516867778, win 537, length 52
>
>18:59:02.599788 00:90:7f:88:d4:2a > 6c:62:6d:9d:31:73, ethertype ARP 
>(0x0806), length 60: Request who-has 192.168.0.180 tell 192.168.0.4, 
>length 46
>
>18:59:14.392257 00:90:7f:88:d4:2a > 00:14:5e:69:22:a0, ethertype IPv4 
>(0x0800), length 74: 109.163.224.34.48017 > 192.168.0.70.80: Flags [S],
>
>seq 2135788581, win 32120, options [mss 1460,sackOK,TS val 13653848 ecr
>
>83886080,nop,wscale 0], length 0
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switch en mode hub?

[David Ponzone]

Vérifie si tu as pas une asymétrie quelque part.
Cela peut provoquer des situations bizarres….


> Le 15 juin 2016 à 20:01, Sebastien Caps  a écrit :
> 
> Bonjour,
> 
> je fais un tcpdump ('-e' pour avoir l'adresse Mac)
> 
> mon réseau interne: 192.168.0/23
> mon IP: 192.168.1.16
> ma Mac: 4c:72:b9:8a:26:c8
> 
> Switch HP 2530-24G directement relié sans mirror interface
> et comme vous pouvez le voir ci dessous je reçois des packets unicast qui ne 
> me sont pas destiné
> (ni a mon ip ni a ma Mac)
> je me demande pourquoi le switch envoi ces packets sur mon interface ?
> c'est logique et je peux aller revoir mes cours ?
> 
> une idée ??
> 
> Merci!
> Seb
> 
> # tcpdump -e -i eth0 -nn not host 192.168.1.16 and not broadcast and not 
> multicast
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
> 18:58:59.432828 00:0f:fe:ac:86:42 > 00:26:73:1d:35:99, ethertype IPv4 
> (0x0800), length 119: 192.168.0.63.1027 > 192.168.0.59.161: GetRequest(62)  
> .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 
> 18:59:01.081372 98:5f:d3:39:d1:d3 > 00:26:73:1d:c4:37, ethertype IPv4 
> (0x0800), length 180: 192.168.1.214.49668 > 192.168.0.56.161: GetRequest(122) 
> .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.1 .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.2 
> .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.3 .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.4 
> .1.3.6.1.4.1.367.3.2.1.2.11.3.1.2.5
> 
> 18:59:02.598983 00:90:7f:88:d4:2a > 6c:62:6d:9d:31:73, ethertype IPv4 
> (0x0800), length 106: 64.233.167.189.443 > 192.168.0.180.51603: Flags [P.], 
> seq 3722164861:3722164913, ack 516867778, win 537, length 52
> 
> 18:59:02.599788 00:90:7f:88:d4:2a > 6c:62:6d:9d:31:73, ethertype ARP 
> (0x0806), length 60: Request who-has 192.168.0.180 tell 192.168.0.4, length 46
> 
> 18:59:14.392257 00:90:7f:88:d4:2a > 00:14:5e:69:22:a0, ethertype IPv4 
> (0x0800), length 74: 109.163.224.34.48017 > 192.168.0.70.80: Flags [S], seq 
> 2135788581, win 32120, options [mss 1460,sackOK,TS val 13653848 ecr 
> 83886080,nop,wscale 0], length 0
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/