wireshark, limite morale d'analyse - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 12-07-2013 à 13:39:31
Pose-toi la question autrement : que recherches-tu ? Quel est l'objectif ?
Une fois que tu as bien définit tes besoins alors tu inclus les contraintes nécessaires à ton projet, notamment l'aspect "vie privée".
Marsh Posté le 12-07-2013 à 16:30:18
l'objectif est de réduire le trafic broadcast afin de pouvoir à l'avenir repérer facilement ce qui n'a pas à dialoguer en broadcast.
pas de problème de vie privée puisque je ne fais que capturer ce qui passe sur ma carte donc broadcast et ce qui m'est destinée.
Marsh Posté le 12-07-2013 à 23:11:24
sur le subnet direct, environ 800 machines
Mais comme je capture tout le broadcast, je vois également les autres réseaux notamment les automates que je souhaite vraiment conserver dans l'analyse
Marsh Posté le 12-07-2013 à 23:28:14
c'est déjà un problème ça. Pourquoi pas faire des subnets ?
Marsh Posté le 12-07-2013 à 23:49:31
j'inverserais la question, pourquoi en faire ?
Il s'agit d'une seule et même entité physique pour ces 800 machines
A part rajouter de la complexité au niveau réseau, du travail à la préparation des machines, et surtout un énorme travail de correction du parc existant ; quel est le gain réel pour l'utilisateur ? le gain pour l'équipe de 3 tech qui a en charge ces 1000 machines (total tous sites) ?
Marsh Posté le 13-07-2013 à 00:08:55
Le premier but des subnet est justement de réduire ton domaine de broadcast.
Je sais pas depuis cb de temps tu fais ton "audit de broadcast" mais j'ai la vague impression que depuis le temps le projet de subnetting de ton réseau serait déjà fini ...
Mélanger des automates industriel si j'ai bien compris avec des postes bureautique c'est juste un non sens. Chercher à éliminer le broadcast c'est juste une connerie
Marsh Posté le 15-07-2013 à 16:08:31
Je ne suis pas à la chasse au broadcast depuis longtemps, enfin je n'y consacre pas 1H par jour (un poignée de minutes plusieurs fois par mois).
comment définir ces subnet ? Par service ? par fonction ? par lieux géographique ?
Je rêve d'un réseau aussi propre mais souvent le réseau ressemble à la structure... Ordonné sur le papier mais tout le monde voit tout le monde et au final on se demande bien comment ça se fait que tout fonctionne aussi bien depuis tout ce temps.
quand aux automates (qui ne sont pas industriel et souvent reliés à des pc), je suis d'accord. Il faudrait les mettre sur un Vlan à part. Mais comme souvent chez nous, c'est 'historique' et on traine cette longue histoire dans tous les domaines.
ok pour le broadcast, c'est ce que pense aussi mon alter-ego. Je suis drosophile...
revoir le réseau, remettre au propre c'est ma mission. Mais la formation sur le tas et les bouquins n'aident pas vraiment à la mise en place avec une prod H24
Marsh Posté le 23-07-2013 à 17:57:52
loin de toi cette idee qu'un reseau d'entreprise est nickel chrome, il y a toujours des verrues, et plus elles sont moches plus elles perdurent.
quelles fonctions sont critiques? lesquelles le sont moins?
identifie les limitations et pense geographique. souvent les merdouilles qui trainent ont des limitation a deux balles. on se traine des reseau de supervision qui sont passees sur ethernet ya pas longtemps, mais qui ne font pas de l'ip. exit donc le routage intervlan pour les membres de ce systeme.
ca te fait deja qq pistes.
Marsh Posté le 25-07-2013 à 09:59:29
bah effectivement, j'ai ces automates qui font de l'IPX et qui n'ont que faire des sous-réseaux. D'autres systèmes qui fonctionnent en broadcast pour détecter les clients... sur 2 réseaux différents parce que c'est plus fun !
Mais voila, on m'oriente souvent vers la mise en place de sous-réseau par contre on ne me dit pas comment définir les sous-réseaux.
A l'inverse, je n'ai pas envie de mettre à genou la passerelle pour faire dialoguer 1000machines entre elles.
Marsh Posté le 12-07-2013 à 13:05:22
pas évident de trouver un titre.
Je souhaite savoir à partir de quand il n'est plus 'utile' et/ou rentable en gain réseau d'analyser le traffic réseau de type broadcast/multicast.
Je pense avoir épurer pas mal de chose au niveau traffic broadcast et pourtant je persiste à lancer plusieurs fois par une jour une capture pour vérifier l'état du réseau.
Tous logiciels désactivés hors wireshark, je reçois environ 2500trames sur ma carte réseau pour 1minute de capture.
Nous avons environ 1200machines/serveurs/automates + environ 100 matériel réseau
le traffic principal reste de l'ARP (50%), un poil de browser, un poil de LLMNR (en court de traitement), et de l'IPX (spécifique à certains automates) puis le reste c'est des requêtes classiques type dhcp, netbios.
bref, est-ce la peine de s'acharner sur l'analyse du traffic part wireshark ? ou du moins quelle est la limite 'morale' où il faut savoir passer à autre chose.