Aviso importante: |
Este artículo le mostrará cómo ver qué dispositivo que está causando tormentas de multidifusión o de difusión en su red y si hay un bucle en la red. Vamos a echar un vistazo a las tormentas de multidifusión y las tormentas de difusión, de dónde viene, cómo encontrar una tormenta de multidifusión / difusión. Cómo utilizar los registros del switch, el espejo de puertos (mirroring) y Wireshark para localizar el dispositivo causante de las tormentas multicast.
1) Introducción
1.1 ¿Qué es una tormenta multicast y broadcast?
Una tormenta broadcast/multicast es una gran cantidad de tráfico broadcast y multicast que inunda una red. Cuando hay muchos de estos paquetes puede afectar al rendimiento de la red y requerir muchos recursos de los equipos de red instalados, lo que puede interrumpir la red. Estos problemas se denominan "tormentas de difusión" y "tormentas de multidifusión".
1.2 ¿De dónde vienen las tormentas multicast y broadcast?
Los paquetes de difusión se envían a todos los dispositivos de la red. La mayoría de los dispositivos no necesitan estos paquetes de difusión y los descartan. Se utilizan principalmente para que otros dispositivos de la red sepan que existe un dispositivo en particular, o para que otros dispositivos sepan que están disponibles para la comunicación. Un ejemplo de paquete de difusión podría ser un paquete DHCP.
Eltráfico multicast es un tipo de difusión. Enviará paquetes a todos los dispositivos en un dominio de difusión particular (224.0.0.0 a 239.255.255.255) y se utiliza a menudopara la transmisión de vídeo. Chromecasts, Apple TV, IPTV, etc. utilizan tráfico multicast para transmitir vídeo por IP.
1.3 ¿Cómo sé si tengo una tormenta de multidifusión/broadcast?
a) Encontrará la tormenta multidifusión en los registros.
b) Red lenta y/o inestable, a menudo sólo en algunas partes de la red.
2) Localización de la tormenta multidifusión/broadcast
Localizar una tormenta multicast es bastante sencillo: mira en los registros de tus switches.
Tanto para los switches autónomos como para los switches Nebula, una tormenta broadcast y multicast es registrada por el switch en el sistema de logs.
2.1 Encontrar una tormenta - Registros del Switch
Esta es la forma más fácil de localizar la tormenta broadcast/multicast. En este ejemplo, podemos ver que hay tormentas multicast ocurriendo en nuestra red.
Si vamos a Switch -> Event Logs, podemos ver que hay constantes tormentas multicast ocurriendo en SW1 (GS1920-24) en el puerto 23 y SW2 (Hidden name) en el puerto 10
Si entramos en SW1 podemos ver que el puerto 23 es un enlace ascendente, por lo que sólo significa que la tormenta multicast ha viajado al puerto de enlace ascendente desde algún otro lugar. Este es un comportamiento natural de una tormenta y no dice mucho porque puede venir de cualquier parte detrás de ese puerto uplink.
Si nos fijamos en SW2, podemos ver que el puerto 10 no es un puerto de enlace ascendente, y está conectado a un único dispositivo.
Si hacemos clic en el puerto 10 para llegar a la página del puerto 10 en Nebula y luego nos desplazamos hacia abajo a la tabla MAC situada abajo a la derecha de la pantalla, podemos averiguar qué dirección MAC está causando esta tormenta de multidifusión.
Si entramos en https://macvendors.com podemos ver de qué tipo de dispositivo se trata:
Ahora hemos localizado de donde viene la tormenta y tenemos que averiguar por qué este Hewlett Packard está creando estas tormentas multicast. Esto se puede hacer investigando el dispositivo, o podemos llamar a su soporte.
2.2 Encontrando la tormenta - Port Mirroring
En algunos casos, no encontrarás el dispositivo original usando los logs del switch. Entonces necesitas hacer un port mirroring, o usar Wireshark para capturar los paquetes en tu PC.
Echa un vistazo a este artículo para saber cómo utilizar la duplicación de puertos:
Nebula Debugging - Port mirroring & Captura de Paquetes
2.3 Encontrando la tormenta - Wireshark
En algunos casos, no encontrarás el dispositivo original usando los logs del switch. Entonces necesitas hacer un port mirroring, o usar Wireshark para capturar los paquetes en tu PC.
Así que primero, conecta un PC a la red por cable, abre Wireshark y elige qué interfaz estás usando (en mi caso estoy usando mi adaptador WiFi para capturar paquetes, pero lo mejor es que te conectes por cable directamente al switch). Luego filtra las tormentas multicast y broadcast con el filtro
multicast and broadcast
En mi caso, no estaba ocurriendo nada loco, pero pudimos ver que había paquetes broadcast procedentes de un dispositivo en particular. Si estos paquetes estuvieran inundando mis registros de Wireshark (es decir, más de 30 paquetes por segundo), tendría que abordar este problema investigando más a fondo este dispositivo y por qué está enviando estos paquetes.
Se puede ver que el tiempo (en segundos) son alrededor de un paquete por segundo, que no es una locura en absoluto.
Mira la dirección MAC de este dispositivo, podemos ver la dirección MAC si marcamos el paquete broadcast de este dispositivo Sagemcom y miramos debajo de la captura del paquete.
Ahora, debido a que no había dirección IP de este dispositivo que encontramos anteriormente, en su lugar abriremos Advanced IP scanner para averiguar la dirección IP de ese dispositivo a través de la dirección MAC que encontramos:
Viene de nuestro router 192.168.1.1 y podemos investigar ese router doméstico por nuestra cuenta. Pero en este caso, fue sólo 1 paquete por segundo, así que dejaré esto.
3) Resolviendo una tormenta multicast y broadcast
Ahora ya has encontrado la fuente de la tormenta multicast o broadcast y, por supuesto, queremos resolverla. Hay cuatro formas principales de resolver las tormentas multicast/broadcast:
a) Identifica si hay un bucle en la red y elimínalo: las tormentas de multidifusión y difusión desaparecerán.
b) Activar el Control de Tormentas - para limitar la cantidad de paquetes multicast, y/o broadcast, que se envían a través de los puertos por segundo con el fin de eliminar los paquetes de tormenta antes de que se produzcan.
c) Activar IGMP Snooping (sólo para tormentas multicast) - para controlar y dirigir el tráfico multicast sólo a los dispositivos que lo soliciten y desestimar los paquetes para todos los demás.
d) Desconectar el dispositivo de la red - o contactar con el soporte del proveedor para ver qué está pasando con ese dispositivo porque no es normal inundar una red con paquetes multicast/broadcast.
3.1 Activar el Control de Tormentas
3.1.1 En modo autónomo
Navegue a Aplicación Avanzada -> Control de Tormentas de Difusión y luego configure los puertos donde ha ubicado su tormenta de multidifusión/difusión:
Habilite el Control de Tormentas en aquellos puertos donde sea necesario y comience con el valor 100 paquetes por segundo y luego disminuya a 70 si sigue experimentando tormentas.
3.1.2 En Nebula
Navegue al puerto(s) donde ha localizado su tormenta multicast/broadcast y establezca un control de tormentas navegando a Switch -> Monitor -> Switch -> Port
Activa el control de tormentas y empieza con el valor 100 paquetes por segundo y luego disminuye a 70 si sigues experimentando tormentas.
3.2 Activar IGMP Snooping (sólo para tormentas multicast)
IGMP snooping es un tema bastante amplio, por lo que no entraremos en la teoría del mismo. Sin embargo, puedes encontrar donde configurarlo más abajo.
3.2.1 En Nebula
Navegue a Switch -> Configurar -> IGMP Avanzado
Habilite IGMP snooping con el interruptor en la parte superior.
3.2.2 En modo autónomo
Vaya a Aplicación avanzada -> Multidifusión -> Multidifusión IPv4 -> IGMP Snooping
Haga clic en "Activo", pulse aplicar y guarde la configuración antes de salir del switch.
Lea más aquí:
Cómo configurar IGMP Snooping para clientes multicast en la misma LAN
3.3 Dislocando o solucionando un comportamiento defectuoso del dispositivo
Si siguen produciéndose tormentas de multidifusión/broadcast que perturban su red, deberá desconectar el dispositivo de la red.
También puede ponerse en contacto con el fabricante (proveedor) del dispositivo que está causando las tormentas para averiguar por qué está causando las tormentas y tratar de resolverlo por el fabricante del dispositivo (proveedor) de apoyo.
Comentarios
0 comentariosInicie sesión para dejar un comentario.