Avviso importante: |
Questo articolo mostra come vedere quale dispositivo sta causando multicast o broadcast storm nella rete e se c'è un loop nella rete. Verranno analizzate le tempeste multicast e broadcast, da dove provengono e come individuare una tempesta multicast/broadcast. Come utilizzare i registri dello switch, il port mirror (mirroring) e Wireshark per individuare il dispositivo che causa gli storm multicast.
1) Introduzione
1.1 Che cos'è una tempesta multicast e broadcast?
Una tempesta broadcast/multicast è una quantità di traffico broadcast e multicast che inonda una rete. Quando questi pacchetti sono numerosi, possono compromettere le prestazioni della rete e richiedere molte risorse alle apparecchiature di rete installate, con conseguenti interruzioni della rete. Questi problemi sono chiamati "broadcast storm" e "multicast storm".
1.2 Da dove derivano le tempeste multicast e broadcast?
Ipacchetti broadcast vengono inviati in tutta la rete a tutti i dispositivi della rete. La maggior parte dei dispositivi non ha bisogno di questi pacchetti broadcast e li scarta. Vengono utilizzati soprattutto per far sapere agli altri dispositivi di rete che esiste un particolare dispositivo o per far sapere agli altri dispositivi che sono disponibili per la comunicazione. Un esempio di pacchetto broadcast potrebbe essere un pacchetto DHCP.
Iltraffico multicast si presenta sotto forma di un tipo di broadcast. Invia pacchetti a tutti i dispositivi in un particolare dominio di broadcast (da 224.0.0.0 a 239.255.255.255) ed è spesso utilizzatoper lo streaming video. Chromecast, Apple TV, IPTV ecc. utilizzano tutti il traffico multicast per lo streaming video su IP.
1.3 Come si fa a sapere se si è in presenza di una tempesta multicast/diffusione?
a) Nei registri è possibile trovare la tempesta multicast/broadcast.
b) Rete lenta e/o instabile, spesso solo per alcune parti della rete.
2) Individuazione della tempesta multicast/broadcast
Individuare una tempesta multicast è piuttosto semplice: basta guardare i log degli switch.
Sia per gli switch stand-alone che per gli switch Nebula, una tempesta broadcast e multicast viene registrata dallo switch nel sistema di log.
2.1 Trovare una tempesta - Registri degli switch
Questo è il modo più semplice per individuare la tempesta broadcast/multicast. In questo esempio, possiamo vedere che ci sono tempeste multicast nella nostra rete.
Se andiamo su Switch -> Registri eventi, possiamo vedere che si verificano costantemente tempeste multicast su SW1 (GS1920-24) sulla porta 23 e su SW2 (Nome nascosto) sulla porta 10.
Se entriamo in SW1 possiamo vedere che la porta 23 è un uplink, quindi significa che la tempesta multicast ha viaggiato verso la porta uplink da qualche altra parte. Questo è un comportamento naturale di una tempesta e non dice molto perché può provenire da qualsiasi punto dietro la porta uplink.
Se osserviamo SW2, possiamo notare che la porta 10 non è una porta uplink ed è collegata a un singolo dispositivo.
Se facciamo clic sulla porta 10 per accedere alla pagina della porta 10 in Nebula e poi scorriamo verso il basso fino alla tabella MAC situata in basso a destra dello schermo, possiamo scoprire quale indirizzo MAC sta causando questa tempesta multicast.
Se poi entriamo in https://macvendors.com possiamo vedere di che tipo di dispositivo si tratta:
Ora abbiamo individuato la provenienza della tempesta e dobbiamo scoprire perché questo Hewlett Packard crea queste tempeste multicast. A tale scopo si può indagare sul dispositivo o chiamare l'assistenza.
2.2 Individuazione della tempesta - Port Mirroring
In alcuni casi, non è possibile trovare il dispositivo originale utilizzando i log dello switch. È quindi necessario eseguire un port mirroring o utilizzare Wireshark per catturare i pacchetti sul PC.
Per sapere come utilizzare il port mirroring, consultare questo articolo:
Debug di Nebula - Port mirroring e cattura dei pacchetti
2.3 Trovare la tempesta - Wireshark
In alcuni casi, non è possibile trovare il dispositivo originale utilizzando i log dello switch. È quindi necessario eseguire un port mirroring o utilizzare Wireshark per catturare i pacchetti sul PC.
Per prima cosa, collegare un PC alla rete via cavo, aprire Wireshark e scegliere l'interfaccia che si sta utilizzando (nel mio caso sto usando il mio adattatore WiFi per catturare i pacchetti, ma è meglio collegarsi via cavo direttamente allo switch. Quindi filtrare le tempeste multicast e broadcast con il filtro:
multicast and broadcast
Nel mio caso, non stava accadendo nulla di strano, ma si vedeva che c'erano pacchetti broadcast provenienti da un particolare dispositivo. Se questi pacchetti stessero inondando i miei log Wireshark (cioè più di 30 pacchetti al secondo), dovrei affrontare il problema indagando più a fondo su questo dispositivo e sul motivo per cui sta inviando questi pacchetti.
Si può notare che il tempo (in secondi) è di circa un pacchetto al secondo, il che non è affatto assurdo.
Osservare l'indirizzo MAC di questo dispositivo; è possibile vedere l'indirizzo MAC se si contrassegna il pacchetto di trasmissione da questo dispositivo Sagemcom e si guarda sotto la cattura del pacchetto.
Ora, poiché non c'era alcun indirizzo IP di questo dispositivo che abbiamo trovato in precedenza, apriremo invece Advanced IP scanner per scoprire l'indirizzo IP di questo dispositivo attraverso l'indirizzo MAC che abbiamo trovato:
Proviene dal nostro router 192.168.1.1 e possiamo indagare da soli su quel router domestico. In questo caso, però, si trattava di un solo pacchetto al secondo, quindi lascerò questo.
3) Risoluzione di una tempesta multicast e broadcast
Ora avete trovato la fonte della tempesta multicast o broadcast e, naturalmente, vogliamo risolverla. Esistono quattro modi principali per risolvere le tempeste multicast e broadcast:
a) Individuare se c'è un loop nella rete e rimuoverlo: in questo modo le tempeste multicast e broadcast scompariranno.
b) Attivare il controllo delle tempeste per limitare la quantità di pacchetti multicast e/o broadcast inviati attraverso le porte al secondo, in modo da eliminare i pacchetti di tempesta prima ancora che si verifichino.
c) Abilitare IGMP Snooping (solo per le tempeste multicast) per controllare e indirizzare il traffico multicast solo ai dispositivi che lo richiedono e ignorare i pacchetti per tutti gli altri.
d) Disconnettere il dispositivo dalla rete o contattare l'assistenza del fornitore per vedere cosa sta succedendo con quel dispositivo, perché non è normale inondare una rete con pacchetti multicast/broadcast.
3.1 Abilitare il controllo delle tempeste
3.1.1 In modalità stand-alone
Spostarsi su Advanced Application -> Broadcast Storm Control e configurare le porte in cui si trova il multicast/broadcast storm:
Abilitare il controllo delle tempeste sulle porte in cui è necessario e iniziare con il valore di 100 pacchetti al secondo e poi diminuire a 70 se si verificano ancora tempeste.
3.1.2 In Nebula
Spostarsi sulla porta (o sulle porte) in cui si è verificata la tempesta multicast/broadcast e impostare un controllo di tempesta navigando su Switch -> Monitor -> Switch -> Port
Abilitare il controllo di tempesta e iniziare con il valore di 100 pacchetti al secondo, quindi diminuire a 70 se si verificano ancora tempeste.
3.2 Abilitare IGMP Snooping (solo per le tempeste multicast)
Lo snooping IGMP è un argomento piuttosto vasto, quindi non ci addentreremo nella sua teoria. Tuttavia, di seguito è possibile trovare il punto in cui configurarlo.
3.2.1 In Nebula
Spostarsi su Switch -> Configura -> IGMP avanzato
Abilitare lo snooping IGMP con l'interruttore in alto.
3.2.2 In modalità stand-alone
Spostarsi su Applicazione avanzata -> Multicast -> Multicast IPv4 -> Snooping IGMP
Fare clic su "Attivo", premere Applica e salvare la configurazione prima di lasciare lo switch.
Per saperne di più, leggete qui:
Come configurare IGMP Snooping per i client multicast nella stessa LAN
3.3 Dislocazione o risoluzione di un comportamento difettoso del dispositivo
Se si verificano ancora tempeste multicast/broadcast che disturbano la rete, è necessario scollegare il dispositivo dalla rete.
Si può anche contattare l'assistenza del produttore (fornitore) del dispositivo che sta causando le tempeste per scoprire perché le sta causando e cercare di risolverle con l'assistenza del produttore (fornitore) del dispositivo.
Commenti
0 commentiAccedi per aggiungere un commento.