On 07/11/2012 18:19, Sylvain Vallerot wrote:
Sinon, est-ce que quelqu'un a des «best practices» à recommander pour ce
qui est de la sécurisation des L2, port security, loop detection et autres
goodies ?
En mode strict, les règles des gros IX s'appliquent bien à toutes les
intercos entre AS. A savoir :
- Seulement trois protocoles autorisés sur le L2 (ARP, IP et IPv6, pas
de *DP ou *ST)
- Ports en mode L3 au moins du coté de l'upstream
- ARP Proxy off (mais ça devrait être partout, malheureusement il est ON
par défaut sur beaucoup d'équipements)
- ARP cache élevé (2 à 4h) et MAC ACL + ARP rate limit
Et oui, la bonne façon de faire est antinomique avec les bidouilles qui
dépannent dans des situations tordues. Et alors ?
Bon, pour ce qui est du storm en lui même, c'est avant tout un problème
de bouclage, donc une question de design. J'ai vu pas mal de réseau qui
reposent sur de multiples L2 et parfois encore du Spanning Tree (dans
toutes les variantes possibles).
Le fond du problème est qu'il n'y a pas d'autre remplacement efficace
que du VPLS pour rester iso-fonctionnel (la plupart de ces petits
réseaux usant du brassage de VLAN plutot que de penser "labels" et
MPLS), et que le VPLS coûte cher en hard ou même juste en licence). Et
qu'il n'est pas non plus trivial à gérer.
Du coup, il faudrait revoir les architectures et remonter un maximum de
choses en L3 (avec ou sans MPLS), et donc changer pas mal de choses dans
les réseaux (d'hébergeurs principalement). Autant te dire que ça ne va
pas arriver plus vite qu'IPv6, et que le besoin est encore moins évident
que pour IPv6.
--
Jérôme Nicolle
06 19 31 27 14
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
