Vigtig meddelelse: |
Denne artikel viser, hvordan du kan se, hvilken enhed der forårsager multicast- eller broadcast-storme i dit netværk, og om der er et loop i netværket. Vi ser på multicast-storme og broadcast-storme, hvor de kommer fra, og hvordan man finder en multicast/broadcast-storm. Hvordan man bruger switch logs, port mirror (spejling) og Wireshark til at lokalisere den multicast storm-enhed, der forårsager stormene.
1) Introduktion
1.1 Hvad er en multicast- og broadcast-storm?
En broadcast/multicast-storm er en masse broadcast- og multicast-trafik, der oversvømmer et netværk. Når der er mange af disse pakker, kan det påvirke netværkets ydeevne og kræve mange ressourcer af det installerede netværksudstyr, hvilket kan forstyrre netværket. Disse problemer kaldes "broadcast storms" og "multicast storms".
1.2 Hvor kommer multicast- og broadcaststorme fra?
Broadcast-pakker sendes gennem hele netværket til alle netværksenheder i et netværk. De fleste enheder har ikke brug for disse broadcast-pakker og vil kassere dem. De bruges mest til at lade andre netværksenheder i et netværk vide, at en bestemt enhed eksisterer, eller lade andre enheder vide, at de er tilgængelige for kommunikation. Et eksempel på en broadcast-pakke kunne være en DHCP-pakke.
Multicast-trafik kommer i form af en type broadcast. Den sender pakker til alle enheder i et bestemt broadcast-domæne (224.0.0.0 til 239.255.255.255) og bruges oftetil streaming af video. Chromecasts, Apple TV'er, IPTV'er osv. bruger alle multicast-trafik til at streame video over IP.
1.3 Hvordan ved jeg, om jeg har en multicast/broadcast storm?
a) Du kan finde Multicast/broadcast storm i logfilerne
b) Langsomt og/eller ustabilt netværk, ofte kun for nogle dele af netværket
2) Lokalisering af din multicast/broadcast storm
At finde en multicast-storm er ret ligetil - du kigger i logfilerne på dine switche.
For både stand-alone switches og Nebula-switches gælder det, at en broadcast- og multicast-storm logges af switchen i logsystemet.
2.1 At finde en storm - Switch-logfiler
Dette er den nemmeste måde at finde broadcast/multicast-stormen på. I dette eksempel kan vi se, at der er multicast-storme i gang i vores netværk.
Hvis vi går til Switch -> Event Logs, kan vi se, at der er konstante multicast-storme på SW1 (GS1920-24) på port 23 og SW2 (Skjult navn) på port 10.
Hvis vi går ind på SW1, kan vi se, at port 23 er et uplink, så det betyder bare, at multicast-stormen har bevæget sig til uplink-porten fra et andet sted. Det er en naturlig opførsel for en storm og siger ikke så meget, fordi den kan komme fra hvor som helst bag den uplink-port.
Hvis vi kigger på SW2, kan vi se, at port 10 ikke er en uplink-port, og at den er forbundet til en enkelt enhed.
Hvis vi klikker på port 10 for at komme til port 10-siden i Nebula og derefter scroller ned til MAC-tabellen, der er placeret nedenfor til højre på skærmen, kan vi finde ud af, hvilken MAC-adresse der forårsager denne multicast-storm.
Hvis vi derefter går ind på https://macvendors.com, kan vi se, hvilken type enhed det er:
Nu har vi lokaliseret, hvor stormen kommer fra, og vi er nødt til at finde ud af, hvorfor denne Hewlett Packard skaber disse multicast-storme. Det kan vi gøre ved at undersøge enheden, eller vi kan ringe til deres support.
2.2 At finde stormen - Port Mirroring
I nogle tilfælde kan du ikke finde den oprindelige enhed ved hjælp af switchens logfiler. Så er du nødt til at lave en portspejling eller bruge Wireshark til at fange pakkerne på din pc.
Se i denne artikel, hvordan du bruger portspejling:
Nebula Debugging - Portspejling og pakkeopsamling
2.3 At finde stormen - Wireshark
I nogle tilfælde kan du ikke finde den oprindelige enhed ved hjælp af switchens logfiler. Så er du nødt til at lave en portspejling eller bruge Wireshark til at fange pakkerne på din pc.
Så først skal du forbinde en pc til netværket via kabel, åbne Wireshark og vælge, hvilket interface du bruger (i mit tilfælde bruger jeg min WiFi-adapter til at fange pakker, men det er bedst at forbinde dig selv via kabel direkte til switchen. Filtrer derefter multicast- og broadcast-stormene med filteret:
multicast and broadcast
I mit tilfælde skete der ikke noget vanvittigt, men vi kunne se, at der kom broadcast-pakker fra en bestemt enhed. Hvis disse pakker oversvømmede mine Wireshark-logfiler (dvs. 30+ pakker i sekundet), ville jeg være nødt til at løse dette problem ved at se nærmere på denne enhed, og hvorfor den sender disse pakker.
Du kan se, at tiden (i sekunder) er omkring en pakke i sekundet, hvilket slet ikke er tosset.
Se på MAC-adressen på denne enhed, vi kan se MAC-adressen, hvis vi markerer broadcast-pakken fra denne Sagemcom-enhed og ser under pakkeoptagelsen.
Da der ikke var nogen IP-adresse på denne enhed, som vi fandt tidligere, vil vi i stedet åbne Advanced IP Scanner for at finde ud af enhedens IP-adresse via den MAC-adresse, vi fandt:
Den kommer fra vores router 192.168.1.1, og vi kan enten undersøge den hjemme-router på egen hånd. Men i dette tilfælde var det kun 1 pakke i sekundet, så jeg vil lade det ligge.
3) Løsning af en multicast- og broadcast-storm
Nu har du fundet kilden til multicast- eller broadcast-stormen, og vi vil selvfølgelig gerne løse den. Der er fire hovedmåder, du kan løse multicast/broadcast-storme på:
a) Identificer, om der er et loop i netværket, og fjern loopet - multicast/broadcast-stormene vil forsvinde bagefter.
b) Aktivér stormkontrol - for at begrænse mængden af multicast- og/eller broadcast-pakker, der sendes gennem portene pr. sekund, for at droppe stormpakkerne, før de overhovedet opstår.
c) Aktiver IGMP Snooping (kun for multicast-storme) - for at kontrollere og styre multicast-trafikken til kun de enheder, der beder om dem, og se bort fra pakkerne til alle andre.
d) Frakobl enheden fra netværket - eller kontakt leverandørens support for at se, hvad der sker med enheden, for det er ikke normalt at oversvømme et netværk med multicast/broadcast-pakker.
3.1 Aktivér stormkontrol
3.1.1 I Stand-alone
Naviger til Advanced Application -> Broadcast Storm Control, og konfigurer derefter de porte, hvor du har placeret din multicast/broadcast storm:
Aktivér stormkontrol på de porte, hvor det er nødvendigt, og start med værdien 100 pakker pr. sekund, og sænk derefter til 70, hvis du stadig oplever storme.
3.1.2 I Nebula
Naviger til den eller de porte, hvor du har lokaliseret din multicast/broadcast-storm, og indstil en stormkontrol ved at navigere til Switch -> Monitor -> Switch -> Port
Aktivér stormkontrol, og start med værdien 100 pakker pr. sekund, og sænk derefter til 70, hvis du stadig oplever storme.
3.2 Aktivér IGMP Snooping (kun til multicast-storme)
IGMP snooping er lidt af et stort emne, så vi vil ikke gå i dybden med teorien om det. Men du kan finde ud af, hvor du konfigurerer det nedenfor.
3.2.1 I Nebula
Naviger til Switch -> Konfigurer -> Avanceret IGMP
Aktivér IGMP snooping med switchen i toppen.
3.2.2 I stand-alone
Naviger til Avanceret applikation -> Multicast -> IPv4 Multicast -> IGMP Snooping
Klik på "Active", tryk på apply, og gem derefter din konfiguration, før du forlader switchen.
Læs mere her:
Sådan konfigureres IGMP Snooping til multicast-klienter i det samme LAN
3.3 Forflytning eller løsning af en defekt enheds adfærd
Hvis der stadig forekommer multicast/broadcast-storme, som forstyrrer dit netværk, skal du afbryde forbindelsen mellem enheden og netværket.
Du kan også kontakte producentens (leverandørens) support for den enhed, der forårsager stormene, for at finde ud af, hvorfor den forårsager stormene, og forsøge at løse det ved hjælp af enhedsproducentens (leverandørens) support.