Comutare - Depanarea furtunilor de Multicast și Broadcast

Acest articol va arăta cum să vedeți ce dispozitiv care provoacă furtuni de multicast sau broadcast în rețeaua dvs. și dacă există o buclă în rețea. Vom analiza furtunile multicast & furtunile de difuzare, de unde provin, cum să găsim o furtună multicast/broadcast. Cum să folosim jurnalele comutatorului, oglindirea porturilor (mirroring) și Wireshark pentru a localiza dispozitivul de furtună multicast care provoacă furtunile.

1) Introducere

1.1 Ce este o furtună multicast & broadcast?

O furtună broadcast/multicast reprezintă o mulțime de trafic broadcast și multicast care inundă o rețea. Atunci când există o cantitate mare de astfel de pachete, aceasta poate afecta performanța rețelei și necesită multe resurse din partea echipamentelor de rețea instalate, ceea ce poate perturba rețeaua. Aceste probleme se numesc "furtuni de difuzare" și "furtuni de multicast".

1.2 De unde provin furtunile de multicast și de difuzare?

Pachetele de difuzare sunt trimise în întreaga rețea către toate dispozitivele de rețea dintr-o rețea. Majoritatea dispozitivelor nu au nevoie de aceste pachete de difuzare și le vor respinge. Se utilizează în principal pentru a anunța celelalte dispozitive dintr-o rețea că există un anumit dispozitiv sau pentru a anunța alte dispozitive că sunt disponibile pentru comunicare. Un exemplu de pachet de difuzare ar putea fi un pachet DHCP.

Traficul de multidifuzare vine sub forma unui tip de difuzare. Acesta va trimite pachete către toate dispozitivele dintr-un anumit domeniu de difuzare (de la 224.0.0.0.0 la 239.255.255.255.255) și este adesea utilizat pentrustreaming video. Chromecast, Apple TV, IPTV etc., toate folosesc traficul multicast pentru a transmite video prin IP.

1.3 Cum știu dacă am o furtună de multicast/broadcasting

a) Veți găsi Multicast/broadcast storm în jurnalele de bord

b) Rețea lentă și/sau instabilă, adesea doar pentru anumite părți ale rețelei

2) Localizați furtuna multicast/broadcast

Localizarea unei furtuni multicast este destul de simplă - vă uitați în jurnalele switch-urilor dumneavoastră.

Atât pentru switch-urile autonome, cât și pentru switch-urile Nebula, o furtună de difuzare și multicast este înregistrată de către switch în sistemul de jurnale.

2.1 Găsirea furtunii - Jurnalele comutatorului

Acesta este cel mai simplu mod de a localiza furtuna de broadcast/multicast. În acest exemplu, putem vedea că în rețeaua noastră se produc furtuni multicast.

Dacă mergem la Switch -> Event Logs (Comutator -> Jurnale de evenimente), putem vedea că există furtuni multicast constante pe SW1 (GS1920-24) pe portul 23 și pe SW2 (nume ascuns) pe portul 10.

Dacă intrăm în SW1, putem vedea că portul 23 este un uplink, ceea ce înseamnă că furtuna de multicast a călătorit spre portul uplink din altă parte. Acesta este un comportament natural al unei furtuni și nu spune prea multe, deoarece poate veni de oriunde din spatele acelui port uplink.

Dacă ne uităm la SW2, putem vedea că portul 10 nu este un port uplink și este conectat la un singur dispozitiv.

Dacă dăm clic pe portul 10 pentru a ajunge la pagina portului 10 din Nebula și apoi derulăm în jos până la tabelul MAC situat mai jos, în dreapta ecranului, putem afla ce adresă MAC provoacă această furtună multicast.

Dacă intrăm apoi în https://macvendors.com, putem vedea ce tip de dispozitiv este:

Acum am localizat de unde provine furtuna și trebuie să aflăm de ce acest Hewlett Packard creează aceste furtuni multicast. Acest lucru se poate face prin investigarea dispozitivului sau putem suna la serviciul de asistență.

2.2 Găsirea furtunii - Port Mirroring

În unele cazuri, nu veți găsi dispozitivul original folosind jurnalele comutatorului. Atunci trebuie să faceți o oglindire a portului sau să folosiți Wireshark pentru a captura pachetele pe PC.

Aruncați o privire la acest articol pentru a afla cum să utilizați oglindirea porturilor:

Nebula Debugging - Port mirroring și capturarea pachetelor

2.3 Găsirea furtunii - Wireshark

În unele cazuri, nu veți găsi dispozitivul original folosind jurnalele switch-ului. Atunci trebuie să faceți o oglindire a porturilor sau să folosiți Wireshark pentru a captura pachetele pe PC.

Așadar, mai întâi, conectați un PC la rețea prin cablu, deschideți Wireshark și alegeți ce interfață utilizați (în cazul meu, folosesc adaptorul WiFi pentru a captura pachetele, dar cel mai bine este să vă conectați prin cablu direct la switch. Apoi, filtrați furtunile de multicast și broadcast cu ajutorul filtrului:

multicast and broadcast

În cazul meu, nu se întâmpla ceva nebunesc, dar am putut vedea că existau pachete de difuzare care proveneau de la un anumit dispozitiv. Dacă aceste pachete îmi inundau jurnalele Wireshark (adică peste 30 de pachete pe secundă), ar trebui să rezolv această problemă, analizând mai bine acest dispozitiv și să aflu de ce trimite aceste pachete.

Ați putut vedea că timpul (în secunde) este de aproximativ un pachet pe secundă, ceea ce nu este deloc nebunesc.

Uitați-vă la adresa MAC a acestui dispozitiv, putem vedea adresa MAC dacă marcăm pachetul de difuzare de la acest dispozitiv Sagemcom și ne uităm mai jos la captura pachetului.

Acum, deoarece nu a existat nicio adresă IP a acestui dispozitiv pe care am găsit-o mai devreme, vom deschide în schimb Advanced IP scanner pentru a afla adresa IP a acestui dispozitiv prin intermediul adresei MAC pe care am găsit-o:

Aceasta provine de la routerul nostru 192.168.1.1 și putem investiga acest router de acasă pe cont propriu. Dar, în acest caz, a fost doar 1 pachet pe secundă, așa că voi lăsa acest lucru.

3) Rezolvarea unei furtuni multicast și broadcast

Acum ați găsit sursa furtunii multicast sau broadcast și, bineînțeles, vrem să o rezolvăm. Există patru modalități principale prin care puteți rezolva furtunile de multicast/broadcast:

a) Identificați dacă există o buclă în rețea și eliminați bucla - furtunile de multicast/broadcast vor dispărea după aceea

b) Activați controlul furtunilor - pentru a limita cantitatea de pachete multicast și/sau broadcast care este trimisă prin porturi pe secundă, pentru a elimina pachetele de furtună înainte ca acestea să se producă

c) Activarea IGMP Snooping (numai pentru furtuni multicast) - pentru a controla și direcționa traficul multicast numai către dispozitivele care le solicită și a ignora pachetele pentru toți ceilalți

d) Deconectați dispozitivul de la rețea - sau contactați serviciul de asistență al furnizorului pentru a vedea ce se întâmplă cu acel dispozitiv, deoarece nu este normal să inunde o rețea cu pachete multicast/broadcasting

3.1 Activați controlul furtunilor

3.1.1 În modul stand-alone

Navigați la Advanced Application (Aplicație avansată) -> Broadcast Storm Control (Control furtună de difuzare) și apoi configurați porturile în care ați localizat furtuna multicast/broadcast:

Activați Storm control pe acele porturi unde este necesar și începeți cu valoarea 100 de pachete pe secundă și apoi reduceți-o la 70 dacă încă vă confruntați cu furtuni.

3.1.2 În Nebula

Navigați la portul (porturile) în care ați localizat furtuna multicast/broadcast și setați un control al furtunii navigând la Switch -> Monitor -> Switch -> Port

Activați Storm control și începeți cu valoarea 100 de pachete pe secundă și apoi reduceți-o la 70 dacă încă vă confruntați cu furtuni.

3.2 Activați IGMP Snooping (numai pentru furtuni multicast)

IGMP snooping este un subiect destul de vast, așa că nu vom intra în teoria acestuia. Cu toate acestea, puteți găsi mai jos unde se configurează acest lucru.

3.2.1 În Nebula

Navigați la Switch -> Configure -> Advanced IGMP (Comutator -> Configurare -> IGMP avansat)

Activați IGMP snooping cu ajutorul comutatorului din partea de sus.

3.2.2. În modul stand-alone

Navigați la Aplicație avansată -> Multicast -> Multicast IPv4 -> IGMP Snooping

Faceți clic pe "Active", apăsați Apply și apoi salvați configurația înainte de a părăsi comutatorul.

Citiți mai multe aici:

Cum se configurează IGMP Snooping pentru clienții de multicast din aceeași rețea LAN

3.3 Dislocarea sau rezolvarea comportamentului unui dispozitiv defect

Dacă încă se produc furtuni de multicast/broadcast care vă perturbă rețeaua, trebuie să deconectați dispozitivul din rețea.

De asemenea, puteți contacta asistența producătorului (furnizorului) dispozitivului care provoacă furtunile pentru a afla de ce provoacă furtunile și pentru a încerca să rezolvați problema prin asistența producătorului (furnizorului) dispozitivului.