Hello Je savais pas trop où répondre dans le thread mais chez Arista/Jun/Cisco en jouant avec des vrf et evpn (ou pas) tu as des commandes pour générer des IP /32 pour chaque entrée arp apprise par une svi. Du coup tu peux imaginer avoir deux vrf : une "front" connectée au reste du monde dans laquelle tu leak les /32 générées par ta ou tes vrf client. Ensuite tes routes vers les différents subnets publiques pointant vers null0 se chargeront de drop les scan des Kev1n :)
++ Pierre Le jeu. 30 juin 2022 à 20:03, David Ponzone <david.ponz...@gmail.com> a écrit : > Je viens d’entrer en guerre contre le broadcast inutile, juste pour le fun. > J’en ai marre de me taper un broadcast sur tout le LAN à chaque fois qu’un > Kevin quelque part envoie un paquet SYN ou autre vers une IP non-utilisée > sur mon réseau. > > Donc je me demandais si des constructeurs avaient eu l’idée d’implémenter > du negative caching dans la table ARP de leurs routeurs. > Evidemment, ça a des effets secondaires pénibles le jour où on veut se > mettre à utiliser l’IP, mais avec un cache à 60/120/180s, c’est acceptable > (ça dépend des usages évidemment). > Je vais appeler Cisco pour leur dire d’ajouter ça dans l’IOS pour le mois > prochain, mais avant, je me demande si je dis une connerie parce qu’il y a > une conséquence pas du tout acceptable sur un réseau en prod. > > Sinon y a une autre solution à laquelle je pense pas ? > J’ai bien pensé ajouter des entrées statiques dans mes routeurs, mais ça > va rien changer. > Le routeur va envoyer un unicast, qui va devenir un broadcast sur le > premier switch. Et pareil pour les paquets suivants. > > Idées ingénieuses (encore une fois, juste pour le principe) ? > > David > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
