Kytkentä - Multicast- ja Broadcast-myrskyjen vianmääritys

Tässä artikkelissa näytetään, miten voit nähdä, mikä laite aiheuttaa multicast- tai broadcast-myrskyjä verkossa ja onko verkossa silmukka. Tarkastelemme multicast-myrskyjä ja broadcast-myrskyjä, mistä ne johtuvat ja miten löytää multicast-/broadcast-myrsky. Kuinka käyttää kytkimen lokitietoja, porttipeiliä (peilausta) ja Wiresharkia myrskyjä aiheuttavan multicast-myrskylaitteen paikantamiseen.

1) Johdanto

1.1 Mikä on multicast- ja broadcast-myrsky?

Broadcast/multicast-myrsky on paljon broadcast- ja multicast-liikennettä, joka tulvii verkkoon. Kun näitä paketteja on paljon, se voi vaikuttaa verkon suorituskykyyn ja vaatia paljon resursseja asennetuilta verkkolaitteilta, mikä voi häiritä verkkoa. Näitä asioita kutsutaan "broadcast-myrskyiksi" ja "multicast-myrskyiksi".

1.2 Mistä multicast- ja broadcast-myrsky tulee?

Broadcast-paketteja lähetetään koko verkossa kaikille verkon verkkolaitteille. Useimmat laitteet eivät tarvitse näitä broadcast-paketteja ja hylkäävät ne. Niitä käytetään useimmiten siihen, että muut verkon laitteet tietävät, että tietty laite on olemassa, tai siihen, että muut laitteet tietävät, että ne ovat käytettävissä viestintään. Esimerkki broadcast-paketista voisi olla DHCP-paketti.

Monilähetysliikenne tulee eräänlaisena lähetyksenä. Se lähettää paketteja kaikille laitteille tietyssä broadcast-alueessa (224.0.0.0.0-239.255.255.255.255), ja sitä käytetään useinvideon suoratoistoon. Chromecastit, Apple TV:t, IPTV:t jne. käyttävät kaikki monilähetysliikennettä videon suoratoistoon IP:n kautta.

1.3 Mistä tiedän, onko minulla multicast/broadcast-myrsky?

a) Multicast/broadcast-myrsky näkyy lokitiedoissa.

b) Verkko on hidas ja/tai epävakaa, usein vain joissakin verkon osissa.

2) Multicast/broadcast-myrskyn paikantaminen

Multicast-myrskyn paikantaminen on melko yksinkertaista - katsot kytkimiesi lokitietoja.

Sekä itsenäisissä kytkimissä että Nebula-kytkimissä kytkin kirjaa broadcast- ja multicast-myrskyn lokijärjestelmään.

2.1 Myrskyn löytäminen - kytkimen lokitietueet

Tämä on helpoin tapa löytää broadcast/multicast-myrsky. Tässä esimerkissä näemme, että verkossa on multicast-myrskyjä.

Jos siirrymme kohtaan Switch -> Event Logs (Kytkin -> Tapahtumalokit), näemme, että SW1:ssä (GS1920-24) portissa 23 ja SW2:ssa (piilotettu nimi) portissa 10 tapahtuu jatkuvasti multicast-myrskyjä.

Jos menemme SW1:een, näemme, että portti 23 on uplink, joten se tarkoittaa vain sitä, että multicast-myrsky on siirtynyt uplink-porttiin jostain muualta. Tämä on myrskyn luonnollista käyttäytymistä, eikä se kerro paljon, koska se voi tulla mistä tahansa tuon uplink-portin takaa.

Jos tarkastelemme SW2:ta, näemme, että portti 10 ei ole uplink-portti, vaan se on liitetty yhteen ainoaan laitteeseen.

Jos napsautamme porttia 10 päästäksemme portti 10 -sivulle Nebulassa ja vieritämme sitten alaspäin MAC-taulukkoon, joka sijaitsee alla näytön oikeassa reunassa, voimme selvittää, mikä MAC-osoite aiheuttaa tämän multicast-myrskyn.

Jos sitten menemme osoitteeseen https://macvendors.com, voimme nähdä, minkä tyyppisestä laitteesta on kyse:

Nyt olemme paikantaneet, mistä myrsky tulee, ja meidän on selvitettävä, miksi tämä Hewlett Packard luo näitä multicast-myrskyjä. Tämä voidaan tehdä tutkimalla laitetta, tai voimme soittaa heidän tukipalveluunsa.

2.2 Myrskyn löytäminen - Porttipeilaus (Port Mirroring)

Joissakin tapauksissa alkuperäistä laitetta ei löydy kytkimen lokien avulla. Silloin sinun on tehtävä porttipeilaus tai käytettävä Wiresharkia pakettien kaappaamiseen tietokoneella.

Tutustu tähän artikkeliin, jossa kerrotaan, miten porttipeilausta käytetään:

Nebula Debugging - Porttipeilaus ja pakettien kaappaus.

2.3 Myrskyn löytäminen - Wireshark

Joissakin tapauksissa et löydä alkuperäistä laitetta kytkimen lokien avulla. Silloin sinun on tehtävä porttipeilaus tai käytettävä Wiresharkia pakettien kaappaamiseen tietokoneella.

Kytke siis ensin tietokone verkkoon kaapelilla, avaa Wireshark ja valitse, mitä liitäntää käytät (minun tapauksessani käytän WiFi-sovitinta pakettien kaappaamiseen, mutta on parasta kytkeä itsesi kaapelilla suoraan kytkimeen. Suodata sitten multicast- ja broadcast-myrskyt suodattimella:

Minun tapauksessani ei tapahtunut mitään hullua, mutta näimme, että yhdestä tietystä laitteesta tuli broadcast-paketteja. Jos nämä paketit tulvivat Wireshark-lokeihini (eli yli 30 pakettia sekunnissa), minun olisi puututtava tähän ongelmaan tutkimalla tarkemmin tätä laitetta ja sitä, miksi se lähettää näitä paketteja.

Voit nähdä, että aika (sekunteina) on noin yksi paketti sekunnissa, mikä ei ole lainkaan hullua.

Katso tämän laitteen MAC-osoite, voimme nähdä MAC-osoitteen, jos merkitsemme tämän Sagemcom-laitteen lähetyspaketin ja katsomme pakettikaappauksen alapuolelta.

Nyt, koska aiemmin löytämämme laitteen IP-osoitetta ei ollut, avaamme sen sijaan Advanced IP scannerin selvittääksemme laitteen IP-osoitteen löytämämme MAC-osoitteen avulla:

Se tulee reitittimestämme 192.168.1.1, ja voimme joko tutkia tuota kotireititintä itse. Mutta tässä tapauksessa se oli vain 1 paketti sekunnissa, joten jätän tämän.

3) Multicast- ja broadcast-myrskyn ratkaiseminen

Nyt olet löytänyt multicast- tai broadcast-myrskyn lähteen, ja haluamme tietenkin ratkaista sen. Multicast-/broadcast-myrskyjä voi ratkaista neljällä eri tavalla:

a) Selvitä, onko verkossa silmukka, ja poista silmukka - multicast-/broadcast-myrskyt katoavat sen jälkeen.

b) Ota käyttöön myrskynhallinta - rajoittaa multicast- ja/tai broadcast-pakettien määrää, joka lähetetään porttien kautta sekunnissa, jotta myrskypaketit voidaan pudottaa ennen kuin niitä edes syntyy.

c) Ota käyttöön IGMP Snooping (vain monilähetysmyrskyjä varten) - monilähetysliikenteen ohjaamiseksi ja ohjaamiseksi vain niitä pyytäville laitteille ja kaikkien muiden pakettien huomiotta jättämiseksi.

d) Irrota laite verkosta - tai ota yhteyttä valmistajan tukeen selvittääksesi, mitä kyseisessä laitteessa tapahtuu, koska ei ole normaalia tulvia verkkoon monilähetys-/broadcast-paketeilla.

3.1 Ota myrskynhallinta käyttöön

3.1.1 Itsenäisessä tilassa

Siirry kohtaan Advanced Application -> Broadcast Storm Control ja määritä portit, joihin olet sijoittanut multicast/broadcast-myrskyn:

Ota myrskynhallinta käyttöön niissä porteissa, joissa sitä tarvitaan, ja aloita arvolla 100 pakettia sekunnissa ja vähennä sitten arvoon 70, jos myrskyjä esiintyy edelleen.

3.1.2 Nebulassa

Siirry siihen porttiin (portteihin), jossa multicast/broadcast-myrskysi sijaitsevat, ja aseta myrskynhallinta siirtymällä kohtaan Switch -> Monitor -> Switch -> Port

Ota myrskynhallinta käyttöön ja aloita arvolla 100 pakettia sekunnissa ja vähennä sitten arvoon 70, jos myrskyjä esiintyy edelleen.

3.2 Ota IGMP Snooping käyttöön (vain multicast-myrskyjä varten).

IGMP snooping on aika iso aihe, joten emme mene sen teoriaan. Löydät kuitenkin alta, mistä tämän konfigurointi tapahtuu.

3.2.1 Nebulassa

Siirry kohtaan Switch -> Configure -> Advanced IGMP.

Ota IGMP snooping käyttöön kytkimen yläreunassa olevalla kytkimellä.

3.2.2 Itsenäisessä käytössä

Siirry kohtaan Advanced Application -> Multicast -> IPv4 Multicast -> IGMP Snooping.

Napsauta "Active" (Aktiivinen), paina Apply (Sovelletaan) ja tallenna määritys ennen kytkimestä poistumista.

Lue lisää täältä:

IGMP Snoopingin määrittäminen samassa lähiverkossa oleville monilähetysasiakkaille.

3.3 Laitteen virheellisen käyttäytymisen poistaminen tai ratkaiseminen.

Jos verkkoa häiritseviä multicast-/broadcast-myrskyjä esiintyy edelleen, laite on irrotettava verkosta.

Voit myös ottaa yhteyttä myrskyjä aiheuttavan laitteen valmistajan (myyjän) tukeen selvittääksesi, miksi laite aiheuttaa myrskyjä, ja yrittää ratkaista ongelman laitteen valmistajan (myyjän) tuella.