OSI couche 2 : les switchs

Si certains d’entre vous ont mauvaise conscience quand on parle du câblage, personne n’envisage de s’interroger sur la manière dont est mis en place la couche 2 (du modèle ISO/OSI) dans les entreprises. Et pourtant…

Et pourtant… Vous avez déjà vu:
Un réseau lent qui semble marcher de temps à autre en ralentissant, sans que vous trouviez la panne ?
Un switch (ou commutateur de niveau 2) ayant un taux de CPU montant à 99% ?
Des secteurs entiers d’un réseau ne marchant pas à certaines heures de la journée ?
Une application inexplicablement lente ?
Des ordinateurs de travail très lent, alors que l’installation à bien été achetée pour du 1 Gbps et prévu pour du 10Gbps sans changer les câbles ?

Oui, en fait cela fait partie des légendes de la partie réseau des services informatique dont on parle à voix basse. Eh bien très souvent ce type de panne est dû au niveau 2 du modèle ISO/OSI.

Depuis que vous êtes jeunes, vous jouez en réseau et rien n’est plus simple que de coller deux switchs ensemble pour faire un réseau et jouer à plusieurs. Et bien c’est le contraire…

Relier plusieurs switchs ensemble, c’est un peu comme faire pousser un arbre et je ne parle pas d’une toile d’araignée, mais bien d’un arbre.
Quelle différence me direz-vous ? Pour arriver à chaque point de l’extrémité d’un arbre, il n’y a qu’un seul chemin possible. Pour arriver à un point d’une toile d’araignée plusieurs chemins sont possibles. Il se trouve que le switch n’aime pas les toiles d’araignée.
Le switch n’aime tellement pas cela, que les informations vont tourner longtemps avant de disparaitre encombrant ainsi le réseau et ralentissant les informations de manière le plus souvent imprévisible. C’est bien une des raisons possibles du ralentissement d’un réseau.

Et pour cette catastrophe, deux switchs suffisent.

Or, cet ensemble est probablement le niveau le plus difficile à débugguer (oui, plus que le câblage ou plus que le routage) car il est difficile de faire des captures significatives et tout aussi difficile de repérer le lieu du problème initial. Vous pouvez donc rester des mois avec ce type de problème.

Il n’est pas dans mon propos de faire un cours sur la bonne installation d’un réseau de niveau deux juste de donner des recommandations sur la politique de gestion du niveau 2 du modèle ISO/OSI :

Interdisez la mise en place de petits switchs par les utilisateurs ou “ceux qui s’y connaissent en informatique parce qu’il fréquentent le week-end les grands distributeurs informatique”.
Ne faites pas des VLANs qui iraient plus loin qu’un temps de ping > 1 seconde
Ne placez pas plus de 500 à 1000 postes informatiques dans le même niveau de broadcast (vlan)
Faites une carte de chaque VLAN et limitez le nombre de VLAN à une vingtaine
La DMZ ne doit pas être reliée au switch de backbone
Ne touchez pas aux paramètres de spanning tree, si vous n’êtes pas un spécialiste.
Coupez les ports inutilisés et sécurisez les accès utilisateurs en limitant les adresses MAC à une ou deux

Enfin, je vous conseille, non je vous abjure (oui, abjure ça jète plus) de lire le livre d’une personne que j’admire beaucoup : Radia_Perlman : Interconnections : Bridges, Routers, Switches, and Internetworking Protocols, 2d ed., Addison-Wesley, 2000 (Notice BNF no FRBNF37755819d), (ISBN 9780201634488). C’est grâce à elle que les switch comme nous connaissons existent et surtout c’est le genre de livre qui peut constituer une bonne base de départ pour l’étude des switchs.

  • LinkedIn
  • MySpace
  • Viadeo
  • Yahoo Bookmarks
  • Facebook
  • Ping
  • Twitter
  • Blogger Post
  • Windows Live Favorites
  • Jamespot
  • Technorati Favorites
  • Yoolink
  • Google Bookmarks
  • Share/Save/Bookmark
This entry was posted in Infrastructure and tagged , , , , , , , , . Bookmark the permalink.

4 Responses to OSI couche 2 : les switchs

  1. Romain says:

    Bien ces quelques petits conseils !
    Qu’entends-tu exactement par “La DMZ ne doit pas être reliée au switch de backbone” ?

  2. admin says:

    Par exemple j’ai déjà vu des architectures dans lesquelles, le switch de la DMZ été relié à des switchs du réseau interne: retournant ainsi vers le “inside” du firewall. Cela créé un grave trou de sécurité, mais avait été mis en place par des gens ne connaissant pas trop le réseau (c’était un fix pour un problème de routage).
    Sinon :)
    Tu fais comment pour avoir ta photo ? j’ai pas trouvé l’option sur wordpress …
    Merci pour tes commentaires

  3. Romain says:

    D’accord pour ton explication. Donc tu le déconseille même avec des VLAN ?
    Souvent, c’est difficile de faire passer la pilule à des sociétés de scinder totalement les DMZ de l’interne (au niveau financier).

    Pour ma photo, en fait, il faut que ton mail ait un “Gravatar” > http://fr.gravatar.com/

  4. admin says:

    Je pense qu’effectivement, les Vlans, ne constituent pas une protection suffisante, cela au niveau matériel et au niveau humain. Je dis au niveau humain, car on retrouve souvent dans les entreprises d’une certaine taille une personne pour la sécurité et une autre pour le réseaux.
    Quand au prix, il faut voir l’informatique comme un outil de productivité et non comme une charge. mais je comprends bien ta remarque.
    Sinon, quand j’aurais fait une photo descente je la mettrais, Merci :)