Avis important : |
Cet article montre comment voir quel périphérique provoque des tempêtes de multidiffusion ou de diffusion dans votre réseau et s'il y a une boucle dans le réseau. Nous examinerons les tempêtes de multidiffusion et de diffusion, leur origine, comment trouver une tempête de multidiffusion/diffusion. Comment utiliser les journaux des commutateurs, le miroir des ports (mirroring) et Wireshark pour localiser l'appareil responsable des tempêtes de multidiffusion.
1) Introduction
1.1 Qu'est-ce qu'une tempête de multicast et de broadcast ?
Une tempête de diffusion/multidiffusion est un important trafic de diffusion et de multidiffusion qui inonde un réseau. Lorsque ces paquets sont nombreux, ils peuvent affecter les performances du réseau et demander beaucoup de ressources à l'équipement réseau installé, ce qui peut perturber le réseau. Ces problèmes sont appelés "tempêtes de diffusion" et "tempêtes de multidiffusion".
1.2 D'où viennent les tempêtes de multidiffusion et de diffusion ?
Lespaquets de diffusion sont envoyés à tous les appareils du réseau. La plupart des appareils n'ont pas besoin de ces paquets de diffusion et les rejettent. Ils sont principalement utilisés pour informer les autres périphériques du réseau de l'existence d'un périphérique particulier, ou pour faire savoir aux autres périphériques qu'ils sont disponibles pour la communication. Un exemple de paquet de diffusion pourrait être un paquet DHCP.
Letrafic de multidiffusion se présente sous la forme d'un type de diffusion. Il envoie des paquets à tous les appareils d'un domaine de diffusion particulier (224.0.0.0 à 239.255.255.255) et est souvent utilisépour la diffusion vidéo en continu. Les Chromecasts, les Apple TV, les IPTV, etc. utilisent tous le trafic multicast pour diffuser de la vidéo sur IP.
1.3 Comment savoir si j'ai une tempête de multidiffusion/diffusion ?
a) Vous trouverez Multicast/broadcast storm dans les journaux.
b) Réseau lent et/ou instable, souvent seulement pour certaines parties du réseau
2) Localiser votre tempête de multidiffusion/diffusion en continu
La localisation d'une tempête de multidiffusion est assez simple : il suffit de consulter les journaux de vos commutateurs.
Pour les commutateurs autonomes et les commutateurs Nebula, une tempête de diffusion et de multidiffusion est enregistrée par le commutateur dans le système de journalisation.
2.1 Trouver une tempête - Journaux des commutateurs
C'est la façon la plus simple de localiser la tempête de diffusion/multidiffusion. Dans cet exemple, nous pouvons voir qu'il y a des tempêtes de multidiffusion dans notre réseau.
Si nous allons dans Switch -> Event Logs, nous pouvons voir qu'il y a des tempêtes de multidiffusion constantes sur SW1 (GS1920-24) sur le port 23 et SW2 (Hidden name) sur le port 10.
Si nous allons dans SW1, nous pouvons voir que le port 23 est une liaison montante, ce qui signifie que la tempête de multidiffusion a voyagé vers le port de liaison montante à partir d'un autre endroit. Il s'agit d'un comportement naturel d'une tempête et cela ne veut pas dire grand-chose car elle peut venir de n'importe où derrière ce port uplink.
Si nous regardons SW2, nous pouvons voir que le port 10 n'est pas un port de liaison montante et qu'il est connecté à un seul périphérique.
Si nous cliquons sur le port 10 pour accéder à la page du port 10 dans Nebula et que nous faisons ensuite défiler le tableau MAC situé en bas à droite de l'écran, nous pouvons découvrir quelle adresse MAC est à l'origine de cette tempête de multidiffusion.
Si nous allons ensuite sur https://macvendors.com, nous pouvons voir de quel type d'appareil il s'agit :
Maintenant que nous avons localisé l'origine de la tempête, nous devons découvrir pourquoi ce Hewlett Packard crée ces tempêtes de multidiffusion. Pour ce faire, nous pouvons examiner l'appareil ou appeler le service d'assistance.
2.2 Trouver la tempête - Port Mirroring
Dans certains cas, vous ne trouverez pas l'appareil d'origine en utilisant les journaux du commutateur. Il faut alors procéder à une mise en miroir des ports ou utiliser Wireshark pour capturer les paquets sur votre PC.
Consultez cet article pour savoir comment utiliser la mise en miroir des ports :
Nebula Debugging - Port mirroring & Packet Capturing (en anglais)
2.3 Trouver une tempête - Wireshark
Dans certains cas, vous ne trouverez pas le périphérique d'origine en utilisant les logs du switch. Il faut alors procéder à une mise en miroir des ports, ou utiliser Wireshark pour capturer les paquets sur votre PC.
Tout d'abord, connectez un PC au réseau via un câble, ouvrez Wireshark et choisissez l'interface que vous utilisez (dans mon cas, j'utilise mon adaptateur WiFi pour capturer les paquets, mais il est préférable de vous connecter via un câble directement au commutateur). Filtrez ensuite les tempêtes multicast et broadcast avec le filtre :
multicast and broadcast
Dans mon cas, il ne s'est pas passé quelque chose de fou, mais nous avons pu voir que des paquets de diffusion provenaient d'un appareil en particulier. Si ces paquets inondaient mes journaux Wireshark (c.-à-d. plus de 30 paquets par seconde), il faudrait que je m'attaque à ce problème en examinant de plus près ce périphérique et la raison pour laquelle il envoie ces paquets.
Vous pouvez voir que le temps (en secondes) est d'environ un paquet par seconde, ce qui n'est pas du tout fou.
Nous pouvons voir l'adresse MAC de ce périphérique si nous marquons le paquet de diffusion de ce périphérique Sagemcom et si nous regardons en dessous la capture de paquet.
Maintenant, parce qu'il n'y avait pas d'adresse IP de ce périphérique que nous avons trouvé plus tôt, nous allons plutôt ouvrir Advanced IP scanner pour trouver l'adresse IP de ce périphérique grâce à l'adresse MAC que nous avons trouvée :
Elle provient de notre routeur 192.168.1.1 et nous pouvons enquêter sur ce routeur domestique par nous-mêmes. Mais dans ce cas, il n'y avait qu'un paquet par seconde, donc je vais laisser cela.
3) Résoudre une tempête de multicast et de broadcast
Maintenant que vous avez trouvé la source de la tempête de multidiffusion ou de diffusion, nous voulons bien sûr la résoudre. Il existe quatre façons principales de résoudre les tempêtes de multidiffusion/diffusion :
a) Identifier s'il y a une boucle dans le réseau et supprimer la boucle - les tempêtes de multidiffusion/diffusion disparaîtront ensuite.
b) Activer le contrôle des tempêtes - pour limiter la quantité de paquets multicast et/ou broadcast envoyés par les ports par seconde afin d'éliminer les paquets de tempête avant même qu'ils ne se produisent.
c) Activer l'IGMP Snooping (pour les tempêtes de multidiffusion uniquement) - pour contrôler et diriger le trafic de multidiffusion vers les seuls appareils qui le demandent et ignorer les paquets pour tous les autres.
d) Déconnecter l'appareil du réseau - ou contacter le service d'assistance du fournisseur pour savoir ce qui se passe avec cet appareil, car il n'est pas normal d'inonder un réseau de paquets de multidiffusion/diffusion générale.
3.1 Activer le contrôle des tempêtes
3.1.1 En mode autonome
Naviguez vers Advanced Application -> Broadcast Storm Control et configurez ensuite les ports où vous avez localisé votre tempête multicast/broadcast :
Activez le contrôle de tempête sur les ports où il est nécessaire et commencez avec la valeur 100 paquets par seconde, puis diminuez à 70 si vous rencontrez encore des tempêtes.
3.1.2 Dans Nebula
Naviguez vers le(s) port(s) où vous avez localisé votre tempête multicast/broadcast et définissez un contrôle de tempête en naviguant vers Switch -> Monitor -> Switch -> Port.
Activez le contrôle des tempêtes et commencez par la valeur 100 paquets par seconde, puis diminuez à 70 si vous rencontrez encore des tempêtes.
3.2 Activer l'IGMP Snooping (uniquement pour les tempêtes multicast)
Le snooping IGMP est un sujet assez vaste, nous n'entrerons donc pas dans la théorie. Cependant, vous pouvez trouver ci-dessous l'endroit où vous pouvez le configurer.
3.2.1 Dans Nebula
Naviguez vers Switch -> Configure -> Advanced IGMP
Activer le snooping IGMP avec le switch en haut.
3.2.2 En mode autonome
Naviguer vers Application avancée -> Multicast -> Multicast IPv4 -> IGMP Snooping
Cliquez sur "Active", cliquez sur "Apply" et sauvegardez votre configuration avant de quitter le switch.
Plus d'informations ici :
Comment configurer IGMP Snooping pour les clients multicast dans le même LAN?
3.3 Délocaliser ou résoudre un comportement défectueux d'un appareil
Si des tempêtes de multidiffusion/diffusion se produisent encore et perturbent votre réseau, vous devez déconnecter l'appareil du réseau.
Vous pouvez également contacter le support du fabricant (vendeur) de l'appareil qui provoque les tempêtes pour savoir pourquoi il provoque les tempêtes et essayer de résoudre le problème par le support du fabricant (vendeur) de l'appareil.