Belangrijke mededeling: |
Dit artikel laat zien hoe je kunt zien welk apparaat multicast of broadcast storms veroorzaakt in je netwerk en of er een lus in het netwerk zit. We zullen kijken naar multicast storms & broadcast storms, waar het vandaan komt, hoe je een multicast/broadcast storm kunt vinden. Hoe gebruik je de switch logs, port mirror (spiegelen) en Wireshark om het multicast storm apparaat dat de stormen veroorzaakt te lokaliseren.
1) Inleiding
1.1 Wat is een multicast & broadcast storm?
Een broadcast/multicast storm is veel broadcast en multicast verkeer dat een netwerk overspoelt. Wanneer er veel van deze pakketten zijn, kan dit de prestaties van het netwerk beïnvloeden en veel bronnen van de geïnstalleerde netwerkapparatuur vereisen, waardoor het netwerk verstoord kan raken. Deze problemen worden "broadcast storms" en "multicast storms" genoemd.
1.2 Waar komen multicast & broadcast storm vandaan?
Broadcast pakketten worden door het hele netwerk gestuurd naar alle netwerkapparaten in een netwerk. De meeste apparaten hebben deze broadcast pakketten niet nodig en zullen ze weggooien. Het wordt meestal gebruikt om andere netwerkapparaten in een netwerk te laten weten dat een bepaald apparaat bestaat, of om andere apparaten te laten weten dat ze beschikbaar zijn voor communicatie. Een voorbeeld van een broadcast pakket kan een DHCP pakket zijn.
Multicast verkeer komt in de vorm van een soort broadcast. Het stuurt pakketten naar alle apparaten in een bepaald broadcast domein (224.0.0.0 tot 239.255.255.255) en wordt vaak gebruiktvoor het streamen van video. Chromecasts, Apple TV's, IPTV's enz. gebruiken allemaal multicast-verkeer om video over IP te streamen.
1.3 Hoe weet ik of ik een multicast/broadcast storm heb?
a) Je vindt Multicast/broadcast storm in de logs
b) Traag en/of onstabiel netwerk, vaak alleen voor sommige delen van het netwerk
2) Uw multicast/broadcast storm lokaliseren
Het lokaliseren van een multicast storm is vrij eenvoudig - je kijkt in de logs van je switches.
Voor zowel stand-alone switches als Nebula switches wordt een broadcast en multicast storm gelogd door de switch in het logsysteem.
2.1 Storm vinden - Switch Logs
Dit is de eenvoudigste manier om de broadcast/multicast storm te vinden. In dit voorbeeld kunnen we zien dat er multicast stormen plaatsvinden in ons netwerk.
Als we naar Switch -> Event Logs gaan, kunnen we zien dat er constant multicast stormen plaatsvinden op SW1 (GS1920-24) op poort 23 en SW2 (Verborgen naam) op poort 10.
Als we naar SW1 gaan, kunnen we zien dat poort 23 een uplink is, wat betekent dat de multicast storm van ergens anders naar de uplink poort is gegaan. Dit is een natuurlijk gedrag van een storm en zegt niet veel omdat het overal vandaan kan komen achter die uplink poort.
Als we naar SW2 kijken, kunnen we zien dat poort 10 geen uplink poort is en verbonden is met één enkel apparaat.
Als we op poort 10 klikken om naar de poort 10 pagina in Nebula te gaan en dan naar beneden scrollen naar de MAC-tabel aan de rechterkant van het scherm, kunnen we uitvinden welk MAC-adres deze multicast storm veroorzaakt.
Als we vervolgens naar https://macvendors.com gaan, kunnen we zien om welk type apparaat het gaat:
Nu hebben we gelokaliseerd waar de storm vandaan komt en moeten we uitzoeken waarom deze Hewlett Packard deze multicast stormen veroorzaakt. Dit kunnen we doen door het apparaat te onderzoeken of we kunnen hun ondersteuning bellen.
2.2 De storm vinden - Port Mirroring
In sommige gevallen kun je het oorspronkelijke apparaat niet vinden met behulp van de logboeken van de switch. Dan moet je een port mirroring uitvoeren of Wireshark gebruiken om de pakketten op je PC vast te leggen.
Bekijk dit artikel om te zien hoe je port mirroring gebruikt:
Nebula Debugging - Port mirroring & Packet Capturing
2.3 Onweer vinden - Wireshark
In sommige gevallen kun je het oorspronkelijke apparaat niet vinden met behulp van de logboeken van de switch. Dan moet je port mirroring toepassen of Wireshark gebruiken om de pakketten op je PC vast te leggen.
Dus sluit eerst een PC aan op het netwerk via een kabel, open Wireshark en kies welke interface je gebruikt (in mijn geval gebruik ik mijn WiFi adapter om pakketten vast te leggen, maar het is het beste om jezelf via een kabel rechtstreeks op de switch aan te sluiten. Filter vervolgens de multicast en broadcast stormen met de filter:
multicast and broadcast
In mijn geval gebeurde er niet iets geks, maar we konden zien dat er broadcastpakketten kwamen van één bepaald apparaat. Als deze pakketten mijn Wireshark logs overspoelden (d.w.z. 30+ pakketten per seconde), dan zou ik dit probleem moeten aanpakken door verder te kijken naar dit apparaat en waarom het deze pakketten verstuurt.
Je kunt zien dat de tijd (in seconden) ongeveer één pakket per seconde is, wat helemaal niet gek is.
Kijk naar het MAC-adres van dit apparaat, we kunnen het MAC-adres zien als we het broadcast pakket van dit Sagemcom apparaat markeren en onder de pakketopname kijken.
Omdat we eerder geen IP-adres van dit apparaat hebben gevonden, zullen we in plaats daarvan de geavanceerde IP-scanner openen om het IP-adres van dat apparaat te achterhalen via het MAC-adres dat we hebben gevonden:
Het komt van onze router 192.168.1.1 en we kunnen die thuisrouter zelf onderzoeken. Maar in dit geval was het slechts 1 pakket per seconde, dus laat ik dit zo.
3) Een multicast- en broadcaststorm oplossen
Nu heb je de bron van de multicast of broadcast storm gevonden en natuurlijk willen we deze oplossen. Er zijn vier manieren om de multicast/broadcast storm op te lossen:
a) Identificeer of er een lus in het netwerk zit en verwijder de lus - de multicast/broadcast stormen zullen daarna verdwijnen
b) Storm control inschakelen - om de hoeveelheid multicast- en/of broadcastpakketten te beperken die per seconde door de poorten worden gestuurd om de stormpakketten te laten vallen nog voor ze plaatsvinden.
c) IGMP Snooping inschakelen (alleen voor multicast storms) - om het multicast-verkeer te controleren en te sturen naar alleen de apparaten die erom vragen en de pakketten voor alle anderen te negeren.
d) Het apparaat loskoppelen van het netwerk - of contact opnemen met de ondersteuning van de leverancier om te zien wat er aan de hand is met dat apparaat omdat het niet normaal is om een netwerk te overspoelen met multicast/broadcast-pakketten
3.1 Stormbesturing inschakelen
3.1.1 In stand-alone
Navigeer naar Geavanceerde toepassing -> Broadcast Storm Control en configureer dan de poorten waar je je multicast/broadcast storm hebt gelokaliseerd:
Schakel Storm control in op die poorten waar het nodig is en begin met de waarde 100 pakketten per seconde en verlaag naar 70 als je nog steeds stormen ervaart.
3.1.2 In Nebula
Navigeer naar de poort(en) waar je de multicast/broadcast storm hebt gelokaliseerd en stel een stormcontrole in door te navigeren naar Switch -> Monitor -> Switch -> Poort
Schakel Storm control in en begin met de waarde 100 pakketten per seconde en verlaag naar 70 als je nog steeds stormen ervaart.
3.2 IGMP Snooping inschakelen (alleen voor multicast-stormen)
IGMP Snooping is een groot onderwerp, dus we zullen niet ingaan op de theorie ervan. Hieronder kun je echter vinden waar je dit kunt configureren.
3.2.1 In Nebula
Navigeer naar Switch -> Configureren -> Geavanceerd IGMP
Schakel IGMP snooping in met de schakelaar bovenaan.
3.2.2 In stand-alone
Navigeer naar Geavanceerde toepassing -> Multicast -> IPv4 Multicast -> IGMP Snooping
Klik op "Active", druk op apply en sla de configuratie op voordat u de switch verlaat.
Lees hier meer:
Hoe IGMP Snooping configureren voor multicast-clients in hetzelfde LAN
3.3 Het gedrag van een defect apparaat ontregelen of oplossen
Als er nog steeds multicast/broadcast stormen plaatsvinden die je netwerk verstoren, dan moet je het apparaat loskoppelen van het netwerk.
Je kunt ook contact opnemen met de ondersteuning van de fabrikant (verkoper) van het apparaat dat de stormen veroorzaakt om uit te zoeken waarom het de stormen veroorzaakt en het proberen op te lossen door de ondersteuning van de fabrikant (verkoper) van het apparaat.