Viktig merknad: |
Denne artikkelen viser hvordan du kan finne ut hvilken enhet som forårsaker multicast- eller broadcast-storm i nettverket ditt, og om det er en loop i nettverket. Vi tar en titt på multicast- og broadcast-stormer, hvor de kommer fra og hvordan du finner en multicast-/broadcast-storm. Hvordan du bruker svitsjlogger, portspeiling (speiling) og Wireshark til å finne multicast-stormenheten som forårsaker stormene.
1) Innledning
1.1 Hva er en multicast- og broadcast-storm?
En broadcast-/multicast-storm er mye broadcast- og multicast-trafikk som oversvømmer et nettverk. Når det er mye av disse pakkene, kan det påvirke ytelsen til nettverket og kreve mye ressurser av det installerte nettverksutstyret, noe som kan forstyrre nettverket. Disse problemene kalles "broadcast storms" og "multicast storms".
1.2 Hvor kommer multicast- og broadcast-storm fra?
Broadcast-pakker sendes gjennom hele nettverket til alle nettverksenheter i et nettverk. De fleste enheter trenger ikke disse broadcast-pakkene og vil forkaste dem. De brukes for det meste til å gjøre andre nettverksenheter i et nettverk oppmerksomme på at en bestemt enhet finnes, eller til å fortelle andre enheter at de er tilgjengelige for kommunikasjon. Et eksempel på en broadcast-pakke kan være en DHCP-pakke.
Multicast-trafikk kommer i form av en type kringkasting. Den sender pakker til alle enheter i et bestemt broadcast-domene (224.0.0.0 til 239.255.255.255) og brukes oftetil strømming av video. Chromecasts, Apple TV-er, IPTV-er osv. bruker alle multicast-trafikk til å strømme video over IP.
1.3 Hvordan vet jeg om jeg har en multicast/broadcast-storm?
a) Du finner Multicast/broadcast storm i loggene.
b) Tregt og/eller ustabilt nettverk, ofte bare i enkelte deler av nettverket.
2) Lokalisering av multicast/broadcast-stormen
Det er ganske enkelt å lokalisere en multicast-storm - du ser i loggene til svitsjene dine.
For både frittstående svitsjer og Nebula-svitsjer logges en broadcast- og multicast-storm av svitsjen i loggsystemet.
2.1 Finne en storm - svitsjelogger
Dette er den enkleste måten å finne broadcast/multicast-stormen på. I dette eksemplet kan vi se at det forekommer multicast-stormer i nettverket vårt.
Hvis vi går til Switch -> Event Logs, kan vi se at det er konstant multicast-storm på SW1 (GS1920-24) på port 23 og SW2 (skjult navn) på port 10.
Hvis vi går inn på SW1, kan vi se at port 23 er en uplink, så det betyr bare at multicast-stormen har reist til uplink-porten fra et annet sted. Dette er en naturlig oppførsel for en storm og sier ikke så mye fordi den kan komme fra hvor som helst bak uplink-porten.
Hvis vi ser på SW2, ser vi at port 10 ikke er en uplink-port, men er koblet til én enkelt enhet.
Hvis vi klikker på port 10 for å komme til port 10-siden i Nebula og deretter blar ned til MAC-tabellen nedenfor til høyre på skjermen, kan vi finne ut hvilken MAC-adresse som forårsaker denne multicast-stormen.
Hvis vi deretter går inn på https://macvendors.com, kan vi se hvilken type enhet det dreier seg om:
Nå har vi funnet ut hvor stormen kommer fra, og vi må finne ut hvorfor denne Hewlett Packard-enheten skaper disse multicast-stormene. Dette kan gjøres ved å undersøke enheten, eller vi kan ringe deres support.
2.2 Finne stormen - Portspeiling
I noen tilfeller finner du ikke den opprinnelige enheten ved hjelp av svitsjeloggene. Da må du gjøre en portspeiling, eller bruke Wireshark til å fange opp pakkene på PC-en.
Ta en titt på denne artikkelen for å finne ut hvordan du bruker portspeiling:
Feilsøking i Nebula - Portspeiling og pakkefangst
2.3 Finne en storm - Wireshark
I noen tilfeller finner du ikke den opprinnelige enheten ved hjelp av svitsjeloggene. Da må du gjøre en portspeiling eller bruke Wireshark til å fange opp pakkene på PC-en.
Først kobler du en PC til nettverket via kabel, åpner Wireshark og velger hvilket grensesnitt du bruker (i mitt tilfelle bruker jeg WiFi-adapteren til å fange opp pakker, men det beste er å koble deg direkte til switchen via kabel. Filtrer deretter multicast- og broadcast-stormene med filteret:
multicast and broadcast
I mitt tilfelle skjedde det ikke noe vanvittig, men vi kunne se at det kom broadcast-pakker fra én bestemt enhet. Hvis disse pakkene oversvømmer Wireshark-loggene mine (dvs. mer enn 30 pakker i sekundet), må jeg undersøke denne enheten nærmere og finne ut hvorfor den sender disse pakkene.
Du kan se at tiden (i sekunder) er omtrent én pakke i sekundet, noe som ikke er vanvittig.
Se på MAC-adressen til denne enheten, vi kan se MAC-adressen hvis vi markerer kringkastingspakken fra denne Sagemcom-enheten og ser under pakkeopptaket.
Siden vi ikke fant noen IP-adresse for denne enheten tidligere, åpner vi i stedet Advanced IP scanner for å finne ut IP-adressen til enheten ved hjelp av MAC-adressen vi fant:
Den kommer fra ruteren vår 192.168.1.1, og vi kan enten undersøke den hjemmeruteren på egen hånd. Men i dette tilfellet var det bare 1 pakke per sekund, så jeg lar dette ligge.
3) Løsning av en multicast- og broadcaststorm
Nå har du funnet kilden til multicast- eller broadcast-stormen, og vi ønsker selvfølgelig å løse den. Det er fire hovedmåter du kan løse multicast/broadcast-stormene på:
a) Identifiser om det er en loop i nettverket og fjern loopen - multicast/broadcast-stormene vil forsvinne etterpå.
b) Aktiver stormkontroll - for å begrense mengden multicast- og/eller broadcast-pakker som sendes gjennom portene per sekund, slik at stormpakkene droppes før de i det hele tatt oppstår.
c) Aktiver IGMP Snooping (kun for multicast-stormer) - for å kontrollere og styre multicast-trafikken til de enhetene som ber om det, og se bort fra pakkene til alle andre.
d) Koble enheten fra nettverket - eller kontakt leverandørens kundestøtte for å finne ut hva som skjer med enheten, for det er ikke normalt å oversvømme et nettverk med multicast/broadcast-pakker.
3.1 Aktivere stormkontroll
3.1.1 I frittstående modus
Naviger til Advanced Application -> Broadcast Storm Control og konfigurer deretter portene der du har plassert multicast/broadcast-stormen:
Aktiver stormkontroll på de portene der det er behov for det, og start med verdien 100 pakker per sekund, og reduser deretter til 70 hvis du fortsatt opplever stormer.
3.1.2 I Nebula
Naviger til porten(e) der du har lokalisert multicast/broadcast-stormen, og angi en stormkontroll ved å navigere til Switch -> Monitor -> Switch -> Port.
Aktiver Storm control og start med verdien 100 pakker per sekund, og reduser deretter til 70 hvis du fortsatt opplever stormer.
3.2 Aktiver IGMP Snooping (bare for multicast-stormer)
IGMP-snooping er et ganske stort tema, så vi skal ikke gå nærmere inn på teorien bak. Du kan imidlertid finne ut hvor du konfigurerer dette nedenfor.
3.2.1 I Nebula
Naviger til Switch -> Configure -> Advanced IGMP (Bryter -> Konfigurer -> Avansert IGMP)
Aktiver IGMP-snooping med bryteren øverst.
3.2.2 I frittstående modus
Naviger til Avansert program -> Multicast -> IPv4 Multicast -> IGMP Snooping
Klikk på "Active", trykk på Apply og lagre konfigurasjonen før du forlater svitsjen.
Les mer her:
Hvordan konfigurere IGMP Snooping for multicast-klienter i samme LAN
3.3 Forflytte eller løse en feilaktig enhetsoppførsel
Hvis det fortsatt forekommer multicast/broadcast-stormer som forstyrrer nettverket, må du koble enheten fra nettverket.
Du kan også kontakte produsentens (leverandørens) kundestøtte for enheten som forårsaker stormene, for å finne ut hvorfor den forårsaker stormene, og prøve å løse problemet ved hjelp av produsentens (leverandørens) kundestøtte.