Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
2076 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Interdire l'instalaltion de mini switch

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Interdire l'instalaltion de mini switch

n°148528
PsYKrO_Fre​d
Posté le 23-08-2017 à 10:02:54  profilanswer
 

Bonjour,
 
Je voulais savoir si vous luttez contre l'installation de switch par des responsables.
J'explique, afin d'éviter de passer par l'informatique, certains responsables achètent des petits swtichs et les installe.
Je me suis aperçu dans une usine que j'ai un gros switch type dell N2048 connecté avec 20 petit switch de marque à la con...
 
Y a t'il un moyen simple pour contrer ceci ? (sans passer par la fermeture des ports réseaux et une liste verte)
Comment faite vous ? vous laissez faire ?
 
Merci

mood
Publicité
Posté le 23-08-2017 à 10:02:54  profilanswer
 

n°148532
Ivy gu
bercé trop près du berceau
Posté le 23-08-2017 à 10:44:55  profilanswer
 

tu peux limiter le nombre de mac-adresses à 1 par port de switch, et récupérer les alertes (via syslog par exemple) quand quelqu'un essaye de truander.

 

bon après faudra peut-être voir le besoin des users, y'a peut-être une question d'ordre plus générale à régler.


Message édité par Ivy gu le 23-08-2017 à 10:45:53

---------------
infused with cruelty, malice, and abstract jazz music.
n°148538
matsu92
Be Water My Friend
Posté le 23-08-2017 à 11:24:57  profilanswer
 

Enregistrer les adresses MAC autorisées et lancer un scan réseau à la découverte d'adresses MAC inconnues/non autorisées?
 
Sinon tu confisques tous ces petits switch jusqu'à temps qu'ils se découragent? ^^
 
Vous gérez comment vos ordinateurs qui se connectent au réseau? DHCP avec IP dynamique?

n°148543
PsYKrO_Fre​d
Posté le 23-08-2017 à 11:51:12  profilanswer
 

Les pcs sont en DHCP...
Les équipements qui sont connectés à ces switchs sont des pc que je maitrise.
 
Je ne peux pas confisqué... j'ai de la production qui tourne...
J'ai du juste constaté l'ampleur...
 
Le risque de ces switchs noname... c'est que je peux avoir des problèmes de Broadcast Storming, de spanning tree, ... bref
 
La solution de Ivy Gu me parait vraiment dure à administrer...
Il n'y a pas de solution qui detecte que c'est un switch et non un ordinateur ou tablette ou pc portable... ?  
Si c'est un switch, accepter ou pas la connexion via la console ou l'interface web.

n°148558
Je@nb
Modérateur
In ze cloud
Posté le 23-08-2017 à 13:36:23  profilanswer
 

C'est la seule solution viable

n°148564
PsYKrO_Fre​d
Posté le 23-08-2017 à 13:54:20  profilanswer
 

et vous la mettez en pratique  ?
Ou vous tolérez ?

n°148566
Je@nb
Modérateur
In ze cloud
Posté le 23-08-2017 à 13:56:46  profilanswer
 

Je l'ai très souvent vu oui

n°148567
Micko77666
Posté le 23-08-2017 à 13:57:44  profilanswer
 


Au niveau de ta direction il y a pas moyen d'empêcher cela ? car bon venir installer des équipements réseaux à l'arrache comme ça ....
 
J'avais un mec qui a fait pareil dans mon ancienne boite... il est venu avec une borne Wifi ... sauf qu'il avait laissé le DHCP activé. Il a eu le droit à un gros mail bien méchant.

n°148568
Ivy gu
bercé trop près du berceau
Posté le 23-08-2017 à 13:59:17  profilanswer
 

PsYKrO_Fred a écrit :

Les pcs sont en DHCP...
Les équipements qui sont connectés à ces switchs sont des pc que je maitrise.
 
Je ne peux pas confisqué... j'ai de la production qui tourne...
J'ai du juste constaté l'ampleur...
 
Le risque de ces switchs noname... c'est que je peux avoir des problèmes de Broadcast Storming, de spanning tree, ... bref
 
La solution de Ivy Gu me parait vraiment dure à administrer...
Il n'y a pas de solution qui detecte que c'est un switch et non un ordinateur ou tablette ou pc portable... ?  
Si c'est un switch, accepter ou pas la connexion via la console ou l'interface web.


 
qu'est-ce que ça a de difficile à administrer ? c'est une simple commande à passer sur chaque port switch utilisateur.


---------------
infused with cruelty, malice, and abstract jazz music.
n°148569
PsYKrO_Fre​d
Posté le 23-08-2017 à 14:08:56  profilanswer
 

Micko77666, la personne qui m'installe ces switchs est un responsable d'usine et bien aprécié par DG... donc bon... IL se prends pour un apprenti informaticien car il aime la technologie...  
 
Du coup, il me branche des switchs comme il me brancherai des multiprises...  
 
Ivu Gu, je dis difficile dans le sens :  
Je bloque tout les ports, une personne met un switch,...
Ils nous appellent au support et nous dis (j'ai pas de réseau)...  
Il faut ensuite se connecter sur un syslog, regarder les logs et s'apercevoir je sais pas comment que c'est un switch...  
 

mood
Publicité
Posté le 23-08-2017 à 14:08:56  profilanswer
 

n°148571
Je@nb
Modérateur
In ze cloud
Posté le 23-08-2017 à 14:14:57  profilanswer
 

il va pouvoir brancher un pc au cul du switch (si c'est un switch banal) celui ci marchera mais si il en branche un 2eme l'autre ne marchera pas.
Donc qd il appelle pour te dire qu'il a pas de réseau tu lui dis que si vu que sur le port il y a bien un équipement :D.

n°148572
Ivy gu
bercé trop près du berceau
Posté le 23-08-2017 à 14:15:19  profilanswer
 

PsYKrO_Fred a écrit :

Micko77666, la personne qui m'installe ces switchs est un responsable d'usine et bien aprécié par DG... donc bon... IL se prends pour un apprenti informaticien car il aime la technologie...  
 
Du coup, il me branche des switchs comme il me brancherai des multiprises...  
 
Ivu Gu, je dis difficile dans le sens :  
Je bloque tout les ports, une personne met un switch,...
Ils nous appellent au support et nous dis (j'ai pas de réseau)...  
Il faut ensuite se connecter sur un syslog, regarder les logs et s'apercevoir je sais pas comment que c'est un switch...  


 
tu te connectes sur un syslog ou sur le switch directement. Mais l'idée derrière le syslog c'était surtout de mettre en place une interface qui permette de remonter directement et clairement tous les messages de ce type pour les avoir avant même que le user appelle pour se plaindre (ça ne me semble pas très compliqué à mettre en place).
 
Maintenant si ça pour toi c'est compliqué je ne vois pas quelle solution va t'aller, dès que tu mets en place des restrictions sans coordination avec les users, il va bien falloir à un moment faire du SAV en plus.


---------------
infused with cruelty, malice, and abstract jazz music.
n°148574
PsYKrO_Fre​d
Posté le 23-08-2017 à 15:23:09  profilanswer
 

Je pense que c'est dans mes cordes... ce que j'ai peur c'est d'augmenter la charge à mes équipes avec plein d'appel et pour dépanner l'utilisateur, cela nous prenne du temps à éplucher des logs...  
 
Deux solutions par rapport a ce que vous dites :
Soit je laisse comme ça.
Soit je configure avec la mac-adress + syslog et je vais voir soit de la faire moi même, soit demander une prestation...
 
Bon je viens de recevoir un N2048, on va pouvoir faire des tests.

n°148577
Wolfman
Modérateur
Lobo'tomizado
Posté le 23-08-2017 à 18:40:35  profilanswer
 

Après, comme déjà proposé, il faudrait commencer par voir pourquoi il y a des switchs supplémentaires. Il faut peut-être repasser du câble, mettre de nouvelles prises, etc. pour réussir à s'en passer.  
Dans certains cas, tu ne pourras pas y couper. L'important est que tu en limites l'usage au maximum, et surtout que tu maîtrises à 100% le choix du matériel et son installation.

n°148579
Micko77666
Posté le 23-08-2017 à 22:24:22  profilanswer
 


Ou sinon tu provoqués un crash en mettant en cause un des petits switchs technique redoutable lol

n°148593
lanstack
Posté le 24-08-2017 à 11:01:19  profilanswer
 

Avant de provoquer un crash, il serait plutôt utile de faire un audit du réseau. Pourquoi les utilisateurs doivent rajouter des switch? Y a-t-il eu l'ajout d'équipements ?


---------------
« Mais j'vous jure, y'a dix minutes, ça marchait très bien... »  
n°148594
PsYKrO_Fre​d
Posté le 24-08-2017 à 12:12:35  profilanswer
 

Le switch supplémentaire c'est pour éviter de payer des électriciens pour tirer des câbles réseaux... ce qui provoque pas mal de mini switch (20 au total) pour une 50 taine de poste sur ce site.
 
On va dire que pour une réactivité et un gain au niveau financié, c'est bien... en contrario, pour les admins, c'est dur à gérer et maitriser son parc...

n°148595
Micko77666
Posté le 24-08-2017 à 13:40:36  profilanswer
 


Sinon pas possible d'aller sur du Wifi (poste fixe aussi)  ? ça sera moins couteux que de tirer des câbles et ça conviendra à tous.

n°148601
Charon_
Posté le 24-08-2017 à 16:24:20  profilanswer
 

PsYKrO_Fred a écrit :

Les pcs sont en DHCP...
Les équipements qui sont connectés à ces switchs sont des pc que je maitrise.
 
Je ne peux pas confisqué... j'ai de la production qui tourne...
J'ai du juste constaté l'ampleur...
 
Le risque de ces switchs noname... c'est que je peux avoir des problèmes de Broadcast Storming, de spanning tree, ... bref
 
La solution de Ivy Gu me parait vraiment dure à administrer...
Il n'y a pas de solution qui detecte que c'est un switch et non un ordinateur ou tablette ou pc portable... ?  
Si c'est un switch, accepter ou pas la connexion via la console ou l'interface web.


 
Pour eviter ce genre de désagrément, il faut implémenter un du BPDUguard afin qu'il coupe le port si jamais il reçoit un BPDU d'un switch.
Ensuite, tu peux aussi gérer le problème du root STP en ajuster la priorité de ton switch master, root guard ,etc..

n°148604
Ivy gu
bercé trop près du berceau
Posté le 24-08-2017 à 16:42:25  profilanswer
 

le genre de switch dont il parle de fait pas de stp, donc non


---------------
infused with cruelty, malice, and abstract jazz music.
n°148606
Charon_
Posté le 24-08-2017 à 17:08:11  profilanswer
 

Ivy gu a écrit :

le genre de switch dont il parle de fait pas de stp, donc non


 
C'est pas ce qu'indique le fabricant : http://www.dell.com/support/home/u [...] s/research

n°148607
Ivy gu
bercé trop près du berceau
Posté le 24-08-2017 à 17:24:19  profilanswer
 

non mais les switchs qu'installent les users en douce, eux ne font pas de stp


---------------
infused with cruelty, malice, and abstract jazz music.
n°148609
Charon_
Posté le 24-08-2017 à 17:37:32  profilanswer
 

Effectivement, certains peuvent ne pas le supporter..
Dans ce cas, limiter les adresses mac sur le ports me semble le mieux, comme tu l'as proposé. Mais bon, ça peut encore ici poser problème lors d'un changement de PC,etc..

n°148611
Je@nb
Modérateur
In ze cloud
Posté le 24-08-2017 à 17:52:32  profilanswer
 

Tu limites pas l'adresse mac mais le nombre d'adresse mac

n°148613
fred34
Posté le 25-08-2017 à 08:37:14  profilanswer
 

PsYKrO_Fred a écrit :

Le switch supplémentaire c'est pour éviter de payer des électriciens pour tirer des câbles réseaux... ce qui provoque pas mal de mini switch (20 au total) pour une 50 taine de poste sur ce site.
 
On va dire que pour une réactivité et un gain au niveau financié, c'est bien... en contrario, pour les admins, c'est dur à gérer et maitriser son parc...


 
Donc dans ce cas, et c'est ce que nous faisons, tu installes toi-même ces mini switchs (dont tu auras choisi le modèle) à la demande des utilisateurs. Ainsi, tu auras la main sur tous les matériels et les utilisateurs seront contents (en plus ils n'auront pas à les acheter eux-même ;-) ).
 


---------------
http://leblogdundsi.lesprost.fr/
n°148614
aurel25000
Posté le 25-08-2017 à 09:38:24  profilanswer
 

fred34 a écrit :


 
Donc dans ce cas, et c'est ce que nous faisons, tu installes toi-même ces mini switchs (dont tu auras choisi le modèle) à la demande des utilisateurs. Ainsi, tu auras la main sur tous les matériels et les utilisateurs seront contents (en plus ils n'auront pas à les acheter eux-même ;-) ).
 


Oui enfin 20 petits switch c'est 20 équipements supplémentaire qui peuvent tomber en panne. En environnement de prod c'est moche.

n°148616
Micko77666
Posté le 25-08-2017 à 11:56:20  profilanswer
 


Si tu n'as pas les budgets ..... tu n'as pas non plus beaucoup le choix.

n°148636
o'gure
Multi grognon de B_L
Posté le 28-08-2017 à 09:09:05  profilanswer
 

PsYKrO_Fred a écrit :

Bonjour,
 
Je voulais savoir si vous luttez contre l'installation de switch par des responsables.
J'explique, afin d'éviter de passer par l'informatique, certains responsables achètent des petits swtichs et les installe.
Je me suis aperçu dans une usine que j'ai un gros switch type dell N2048 connecté avec 20 petit switch de marque à la con...
 
Y a t'il un moyen simple pour contrer ceci ? (sans passer par la fermeture des ports réseaux et une liste verte)
Comment faite vous ? vous laissez faire ?
 
Merci


En parallèle de protection "technique", il y aura deux autres actions à avoir je pense:
1. une petite com vers la direction (DSI, DG, etc...) indiquant factuellement:
- les zones responsabilités de chacun
- les risques factuels que le DG pourra comprendre
   - arrêt de la production €€€
   - augmentation du temps de troubleshooting => augmentation des charges €€€ de supports
- le désengagement de la responsabilité de tes équipes en cas d'installation de bornes/switches pirates
- mise en place d'une charte info ou rappel de celle-ci
- etc...
 
 
2. Une analyse de pourquoi ils en ont arrivés là ?  
 - tracer les requêtes/demande d'évolution technique
 - voir si certaine n'ont pas été traiter en temps et en heure et pour quelle raison
=> ça permettrait de trouver un compromis et/ou avoir plus de moyen


---------------
Ton Antoine commence à me les briser menus !
n°148650
campesinos
Posté le 28-08-2017 à 22:07:41  profilanswer
 

Le problème de la mac-address par port c'est la gestion, un déménagement, un changement de machine, la secrétaire qui déplace l'imprimante et la rebranche et sur le mauvais port, tout cela génère de l'indisponibilité et des interventions pour l'admin. C'est vite imbitable quand le parc devient important.
Sinon comme cela a été dit, se poser la question du pourquoi de la multiplication des switchs sauvages sur le lan (il semble clair que le nombres de prises est insuffisant), si pas de budget, autant maîtriser soi-même l'installation des switchs.
Pour découvrir les switchs sauvages, plutôt que de se taper les logs, utiliser un soft avec découverte automatique du réseau pour générer une cartographie dynamique. Un outil comme NeDi le fait très bien.

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Interdire l'instalaltion de mini switch

 

Sujets relatifs
Vlan switch dell2Vlan sur un port Switch Managed
Serveur avec carte fibre optique & switchCOnfig Switch Enterasys C3G124-48p
Switch KVMcore switch configuration spanning tree
Switch Nortel VLAN 
Plus de sujets relatifs à : Interdire l'instalaltion de mini switch



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR