Bonjour,
 
Je voulais savoir si vous luttez contre l'installation de switch par des responsables.
J'explique, afin d'éviter de passer par l'informatique, certains responsables achètent des petits swtichs et les installe.
Je me suis aperçu dans une usine que j'ai un gros switch type dell N2048 connecté avec 20 petit switch de marque à la con...
 
Y a t'il un moyen simple pour contrer ceci ? (sans passer par la fermeture des ports réseaux et une liste verte)
Comment faite vous ? vous laissez faire ?
 
Merci

tu peux limiter le nombre de mac-adresses à 1 par port de switch, et récupérer les alertes (via syslog par exemple) quand quelqu'un essaye de truander.

bon après faudra peut-être voir le besoin des users, y'a peut-être une question d'ordre plus générale à régler.

Enregistrer les adresses MAC autorisées et lancer un scan réseau à la découverte d'adresses MAC inconnues/non autorisées?
 
Sinon tu confisques tous ces petits switch jusqu'à temps qu'ils se découragent? ^^
 
Vous gérez comment vos ordinateurs qui se connectent au réseau? DHCP avec IP dynamique?

Les pcs sont en DHCP...
Les équipements qui sont connectés à ces switchs sont des pc que je maitrise.
 
Je ne peux pas confisqué... j'ai de la production qui tourne...
J'ai du juste constaté l'ampleur...
 
Le risque de ces switchs noname... c'est que je peux avoir des problèmes de Broadcast Storming, de spanning tree, ... bref
 
La solution de Ivy Gu me parait vraiment dure à administrer...
Il n'y a pas de solution qui detecte que c'est un switch et non un ordinateur ou tablette ou pc portable... ?  
Si c'est un switch, accepter ou pas la connexion via la console ou l'interface web.

C'est la seule solution viable

et vous la mettez en pratique  ?
Ou vous tolérez ?

Je l'ai très souvent vu oui

Au niveau de ta direction il y a pas moyen d'empêcher cela ? car bon venir installer des équipements réseaux à l'arrache comme ça ....
 
J'avais un mec qui a fait pareil dans mon ancienne boite... il est venu avec une borne Wifi ... sauf qu'il avait laissé le DHCP activé. Il a eu le droit à un gros mail bien méchant.

 
qu'est-ce que ça a de difficile à administrer ? c'est une simple commande à passer sur chaque port switch utilisateur.

Micko77666, la personne qui m'installe ces switchs est un responsable d'usine et bien aprécié par DG... donc bon... IL se prends pour un apprenti informaticien car il aime la technologie...  
 
Du coup, il me branche des switchs comme il me brancherai des multiprises...  
 
Ivu Gu, je dis difficile dans le sens :  
Je bloque tout les ports, une personne met un switch,...
Ils nous appellent au support et nous dis (j'ai pas de réseau)...  
Il faut ensuite se connecter sur un syslog, regarder les logs et s'apercevoir je sais pas comment que c'est un switch...  
 

il va pouvoir brancher un pc au cul du switch (si c'est un switch banal) celui ci marchera mais si il en branche un 2eme l'autre ne marchera pas.
Donc qd il appelle pour te dire qu'il a pas de réseau tu lui dis que si vu que sur le port il y a bien un équipement .

 
tu te connectes sur un syslog ou sur le switch directement. Mais l'idée derrière le syslog c'était surtout de mettre en place une interface qui permette de remonter directement et clairement tous les messages de ce type pour les avoir avant même que le user appelle pour se plaindre (ça ne me semble pas très compliqué à mettre en place).
 
Maintenant si ça pour toi c'est compliqué je ne vois pas quelle solution va t'aller, dès que tu mets en place des restrictions sans coordination avec les users, il va bien falloir à un moment faire du SAV en plus.

Je pense que c'est dans mes cordes... ce que j'ai peur c'est d'augmenter la charge à mes équipes avec plein d'appel et pour dépanner l'utilisateur, cela nous prenne du temps à éplucher des logs...  
 
Deux solutions par rapport a ce que vous dites :
Soit je laisse comme ça.
Soit je configure avec la mac-adress + syslog et je vais voir soit de la faire moi même, soit demander une prestation...
 
Bon je viens de recevoir un N2048, on va pouvoir faire des tests.

Après, comme déjà proposé, il faudrait commencer par voir pourquoi il y a des switchs supplémentaires. Il faut peut-être repasser du câble, mettre de nouvelles prises, etc. pour réussir à s'en passer.  
Dans certains cas, tu ne pourras pas y couper. L'important est que tu en limites l'usage au maximum, et surtout que tu maîtrises à 100% le choix du matériel et son installation.

Ou sinon tu provoqués un crash en mettant en cause un des petits switchs technique redoutable lol

Avant de provoquer un crash, il serait plutôt utile de faire un audit du réseau. Pourquoi les utilisateurs doivent rajouter des switch? Y a-t-il eu l'ajout d'équipements ?

Le switch supplémentaire c'est pour éviter de payer des électriciens pour tirer des câbles réseaux... ce qui provoque pas mal de mini switch (20 au total) pour une 50 taine de poste sur ce site.
 
On va dire que pour une réactivité et un gain au niveau financié, c'est bien... en contrario, pour les admins, c'est dur à gérer et maitriser son parc...

Sinon pas possible d'aller sur du Wifi (poste fixe aussi)  ? ça sera moins couteux que de tirer des câbles et ça conviendra à tous.

 
Pour eviter ce genre de désagrément, il faut implémenter un du BPDUguard afin qu'il coupe le port si jamais il reçoit un BPDU d'un switch.
Ensuite, tu peux aussi gérer le problème du root STP en ajuster la priorité de ton switch master, root guard ,etc..

le genre de switch dont il parle de fait pas de stp, donc non

 
C'est pas ce qu'indique le fabricant : http://www.dell.com/support/home/u [...] s/research

non mais les switchs qu'installent les users en douce, eux ne font pas de stp

Effectivement, certains peuvent ne pas le supporter..
Dans ce cas, limiter les adresses mac sur le ports me semble le mieux, comme tu l'as proposé. Mais bon, ça peut encore ici poser problème lors d'un changement de PC,etc..

Tu limites pas l'adresse mac mais le nombre d'adresse mac

 
Donc dans ce cas, et c'est ce que nous faisons, tu installes toi-même ces mini switchs (dont tu auras choisi le modèle) à la demande des utilisateurs. Ainsi, tu auras la main sur tous les matériels et les utilisateurs seront contents (en plus ils n'auront pas à les acheter eux-même ;-) ).
 

Oui enfin 20 petits switch c'est 20 équipements supplémentaire qui peuvent tomber en panne. En environnement de prod c'est moche.

Si tu n'as pas les budgets ..... tu n'as pas non plus beaucoup le choix.

En parallèle de protection "technique", il y aura deux autres actions à avoir je pense:
1. une petite com vers la direction (DSI, DG, etc...) indiquant factuellement:
- les zones responsabilités de chacun
- les risques factuels que le DG pourra comprendre
   - arrêt de la production €€€
   - augmentation du temps de troubleshooting => augmentation des charges €€€ de supports
- le désengagement de la responsabilité de tes équipes en cas d'installation de bornes/switches pirates
- mise en place d'une charte info ou rappel de celle-ci
- etc...
 
 
2. Une analyse de pourquoi ils en ont arrivés là ?  
 - tracer les requêtes/demande d'évolution technique
 - voir si certaine n'ont pas été traiter en temps et en heure et pour quelle raison
=> ça permettrait de trouver un compromis et/ou avoir plus de moyen

Le problème de la mac-address par port c'est la gestion, un déménagement, un changement de machine, la secrétaire qui déplace l'imprimante et la rebranche et sur le mauvais port, tout cela génère de l'indisponibilité et des interventions pour l'admin. C'est vite imbitable quand le parc devient important.
Sinon comme cela a été dit, se poser la question du pourquoi de la multiplication des switchs sauvages sur le lan (il semble clair que le nombres de prises est insuffisant), si pas de budget, autant maîtriser soi-même l'installation des switchs.
Pour découvrir les switchs sauvages, plutôt que de se taper les logs, utiliser un soft avec découverte automatique du réseau pour générer une cartographie dynamique. Un outil comme NeDi le fait très bien.