Ważna informacja: |
W tym artykule pokażemy, jak sprawdzić, które urządzenie powoduje burze multicastowe lub rozgłoszeniowe w sieci i czy w sieci występuje pętla. Przyjrzymy się burzom multiemisji i burzom rozgłoszeniowym, skąd się biorą, jak znaleźć burzę multiemisji / rozgłoszeniową. Jak korzystać z dzienników przełączników, kopii lustrzanych portów (mirroring) i Wireshark, aby zlokalizować urządzenie powodujące burze multiemisji.
1) Wprowadzenie
1.1 Czym jest burza multicastowa i broadcastowa?
Burza rozgłoszeniowa/ multiemisji to duża ilość ruchu rozgłoszeniowego i multiemisji, która zalewa sieć. Gdy pakietów tych jest dużo, może to wpływać na wydajność sieci i wymagać dużej ilości zasobów zainstalowanego sprzętu sieciowego, co może zakłócać działanie sieci. Problemy te nazywane są "burzami rozgłoszeniowymi" i "burzami multiemisji".
1.2 Skąd się biorą burze multicastowe i broadcastowe?
Pakiety rozgłoszeniowe są wysyłane w całej sieci do wszystkich urządzeń sieciowych w sieci. Większość urządzeń nie potrzebuje pakietów rozgłoszeniowych i odrzuca je. Jest on głównie używany do informowania innych urządzeń sieciowych w sieci o istnieniu określonego urządzenia lub informowania innych urządzeń, że są one dostępne do komunikacji. Przykładem pakietu rozgłoszeniowego może być pakiet DHCP.
Ruch multicastowy ma postać rozgłaszania. Wysyłapakiety do wszystkich urządzeń w określonej domenie rozgłoszeniowej (224.0.0.0 do 239.255.255.255) i jest często używanydo przesyłania strumieniowego wideo. Chromecasty, Apple TV, IPTV itp. wykorzystują ruch multicastowy do strumieniowego przesyłania wideo przez IP.
1.3 Skąd mam wiedzieć, czy mam burzę multicastową/broadcastową?
a) Burzę multicastową/broadcastową można znaleźć w logach
b) Wolna i/lub niestabilna sieć, często tylko w niektórych częściach sieci
2) Lokalizowanie burzy multicast/broadcast
Zlokalizowanie burzy multicastowej jest dość proste - wystarczy przejrzeć logi przełączników.
Zarówno w przypadku przełączników autonomicznych, jak i przełączników Nebula, burza rozgłoszeniowa i multiemisji jest rejestrowana przez przełącznik w systemie dziennika.
2.1 Znajdowanie burz - dzienniki przełączników
Jest to najprostszy sposób na zlokalizowanie burzy broadcast/multicast. W tym przykładzie widzimy, że w naszej sieci występują burze multiemisji.
Jeśli przejdziemy do Switch -> Event Logs, zobaczymy, że na SW1 (GS1920-24) na porcie 23 i SW2 (Hidden name) na porcie 10 występują ciągłe burze multicastowe.
Jeśli wejdziemy do SW1, zobaczymy, że port 23 jest łączem uplink, więc oznacza to po prostu, że burza multicastowa dotarła do portu uplink z innego miejsca. Jest to naturalne zachowanie burzy i nie mówi zbyt wiele, ponieważ może pochodzić z dowolnego miejsca za portem uplink.
Jeśli spojrzymy na SW2, zobaczymy, że port 10 nie jest portem uplink i jest podłączony do jednego urządzenia.
Jeśli klikniemy port 10, aby przejść do strony portu 10 w Nebula, a następnie przewiniemy w dół do tabeli MAC znajdującej się poniżej po prawej stronie ekranu, możemy dowiedzieć się, który adres MAC powoduje tę burzę multiemisji.
Jeśli następnie wejdziemy na stronę https://macvendors.com, możemy zobaczyć, jaki to typ urządzenia:
Teraz zlokalizowaliśmy, skąd pochodzi burza i musimy dowiedzieć się, dlaczego ten Hewlett Packard tworzy te burze multiemisji. Można to zrobić poprzez zbadanie urządzenia lub zadzwonić do pomocy technicznej.
2.2 Znalezienie burzy - Port Mirroring
W niektórych przypadkach nie można znaleźć oryginalnego urządzenia za pomocą dzienników przełącznika. W takim przypadku należy wykonać dublowanie portów lub użyć Wiresharka do przechwycenia pakietów na komputerze.
Zapoznaj się z tym artykułem, aby dowiedzieć się, jak korzystać z mirroringu portów:
Debugowanie Nebula - mirroring portów i przechwytywanie pakietów
2.3 Znajdowanie burzy - Wireshark
W niektórych przypadkach nie można znaleźć oryginalnego urządzenia za pomocą dzienników przełącznika. W takim przypadku należy wykonać mirroring portów lub użyć Wiresharka do przechwycenia pakietów na komputerze.
Najpierw podłącz komputer do sieci za pomocą kabla, otwórz Wireshark i wybierz interfejs, którego używasz (w moim przypadku używam karty WiFi do przechwytywania pakietów, ale najlepiej jest podłączyć się kablem bezpośrednio do przełącznika). Następnie odfiltruj burze multicast i broadcast za pomocą filtra:
dyn_repppp_0
W moim przypadku nie działo się nic szalonego, ale widać było, że z jednego konkretnego urządzenia przychodziły pakiety rozgłoszeniowe. Gdyby te pakiety zalewały moje dzienniki Wireshark (tj. 30+ pakietów na sekundę), musiałbym zająć się tym problemem, sprawdzając dokładniej to urządzenie i dlaczego wysyła te pakiety.
Można zauważyć, że czas (w sekundach) wynosi około jednego pakietu na sekundę, co wcale nie jest szalone.
Spójrz na adres MAC tego urządzenia, możemy zobaczyć adres MAC, jeśli zaznaczymy pakiet rozgłoszeniowy z tego urządzenia Sagemcom i spojrzymy poniżej na przechwytywanie pakietów.
Teraz, ponieważ nie było adresu IP tego urządzenia, które znaleźliśmy wcześniej, zamiast tego otworzymy zaawansowany skaner IP, aby znaleźć adres IP tego urządzenia za pomocą znalezionego adresu MAC:
Pochodzi on z naszego routera 192.168.1.1 i możemy samodzielnie zbadać ten domowy router. Ale w tym przypadku był to tylko 1 pakiet na sekundę, więc zostawię to.
3) Rozwiązywanie burzy multicastowej i broadcastowej
Teraz znaleźliśmy źródło burzy multicastowej lub rozgłoszeniowej i oczywiście chcemy ją rozwiązać. Istnieją cztery główne sposoby rozwiązywania burz multiemisji/rozgłaszania:
a) Zidentyfikować pętlę w sieci i usunąć ją - burze multicast/broadcast znikną.
b) Włączenie kontroli burz - w celu ograniczenia ilości pakietów multicast i/lub broadcast wysyłanych przez porty na sekundę, aby odrzucić pakiety burzowe, zanim jeszcze się pojawią.
c) Włącz IGMP Snooping (tylko dla burz multicastowych) - aby kontrolować i kierować ruch multicastowy tylko do urządzeń, które o to proszą i ignorować pakiety dla wszystkich innych.
d) Odłączenie urządzenia od sieci - lub skontaktowanie się z pomocą techniczną dostawcy w celu sprawdzenia, co dzieje się z tym urządzeniem, ponieważ zalewanie sieci pakietami multicast/broadcast nie jest normalne.
3.1 Włączanie funkcji Storm Control
3.1.1 W trybie autonomicznym
Przejdź do Advanced Application -> Broadcast Storm Control, a następnie skonfiguruj porty, na których znajduje się multicast/broadcast storm:
Włącz kontrolę burzy na tych portach, na których jest ona potrzebna i zacznij od wartości 100 pakietów na sekundę, a następnie zmniejsz do 70, jeśli nadal występują burze.
3.1.2 W Nebula
Przejdź do portów, na których zlokalizowałeś burzę multicast/broadcast i ustaw kontrolę burzy, przechodząc do Switch -> Monitor -> Switch -> Port
Włącz kontrolę burzy i zacznij od wartości 100 pakietów na sekundę, a następnie zmniejsz do 70, jeśli nadal występują burze.
3.2 Włącz IGMP Snooping (tylko dla burz multicastowych)
IGMP snooping to dość obszerny temat, więc nie będziemy zagłębiać się w jego teorię. Jednak poniżej można znaleźć miejsce, w którym można to skonfigurować.
3.2.1 W Nebula
Przejdź do Switch -> Configure -> Advanced IGMP
Włącz IGMP snooping za pomocą przełącznika na górze.
3.2.2 W trybie autonomicznym
Przejdź do Advanced Application -> Multicast -> IPv4 Multicast -> IGMP Snooping
Kliknij "Aktywny", zastosuj, a następnie zapisz konfigurację przed opuszczeniem przełącznika.
Więcej informacji tutaj:
Jak skonfigurować IGMP Snooping dla klientów multicast w tej samej sieci LAN
3.3 Usuwanie lub rozwiązywanie problemów z działaniem urządzenia
Jeśli nadal występują burze multicastowe/broadcastowe, które zakłócają działanie sieci, należy odłączyć urządzenie od sieci.
Można również skontaktować się z pomocą techniczną producenta (sprzedawcy) urządzenia, które powoduje burze, aby dowiedzieć się, dlaczego powodują one burze i spróbować je rozwiązać za pośrednictwem pomocy technicznej producenta (sprzedawcy) urządzenia.