Важное уведомление: |
В этой статье мы рассмотрим, как определить, какое устройство вызывает многоадресный или широковещательный шторм в вашей сети и есть ли в сети петля. Мы рассмотрим многоадресные и широковещательные штормы, откуда они берутся, как найти многоадресный/широковещательный шторм. Как использовать журналы коммутатора, зеркало портов (зеркалирование) и Wireshark для поиска устройства, вызывающего многоадресный шторм.
1) Введение
1.1 Что такое многоадресный и широковещательный шторм?
Широковещательный/многоадресный шторм - это большое количество широковещательного и многоадресного трафика, наводняющего сеть. Большое количество таких пакетов может повлиять на производительность сети и потребовать много ресурсов от установленного сетевого оборудования, что может нарушить работу сети. Такие проблемы называются "широковещательными штормами" и "многоадресными штормами".
1.2 Откуда берутся многоадресные и широковещательные штормы?
Широковещательные пакеты рассылаются по всей сети всем сетевым устройствам в сети. Большинство устройств не нуждаются в этих широковещательных пакетах и отбрасывают их. В основном они используются для того, чтобы сообщить другим сетевым устройствам в сети о существовании конкретного устройства или дать понять другим устройствам, что они доступны для связи. Примером широковещательного пакета может быть пакет DHCP.
Многоадресный трафик представляет собой разновидность широковещательного. Он отправляет пакеты всем устройствам в определенном широковещательном домене (от 224.0.0.0 до 239.255.255.255) и часто используетсядля передачи потокового видео. Chromecasts, Apple TV, IPTV и т.д. используют многоадресный трафик для передачи видео по IP.
1.3 Как узнать, есть ли у меня многоадресный/широковещательный шторм
a) Вы можете обнаружить многоадресный/широковещательный шторм в журналах
b) Медленная и/или нестабильная работа сети, часто только в некоторых ее частях
2) Обнаружение многоадресного/широковещательного шторма
Обнаружить шторм многоадресной рассылки довольно просто - нужно заглянуть в журналы своих коммутаторов.
Как для автономных коммутаторов, так и для коммутаторов Nebula, широковещательный и многоадресный шторм регистрируется коммутатором в системе журналов.
2.1 Поиск шторма - журналы коммутатора
Это самый простой способ обнаружения широковещательного/мультикастового шторма. В данном примере мы видим, что в нашей сети происходят многоадресные штормы.
Если мы перейдем в меню Switch -> Event Logs, то увидим, что на SW1 (GS1920-24) на порту 23 и SW2 (Hidden name) на порту 10 постоянно происходят многоадресные штормы.
Если мы зайдем на SW1, то увидим, что порт 23 является восходящим, а значит, многоадресный шторм переместился на восходящий порт из другого места. Это естественное поведение шторма, которое мало о чем говорит, поскольку он может прийти откуда угодно за портом uplink.
Если мы посмотрим на SW2, то увидим, что порт 10 не является восходящим портом и подключен к одному единственному устройству.
Если мы щелкнем на порте 10, чтобы перейти на страницу порта 10 в Nebula, а затем прокрутим вниз таблицу MAC-адресов, расположенную ниже в правой части экрана, мы сможем узнать, какой MAC-адрес вызывает этот многоадресный шторм.
Если мы перейдем на страницу https://macvendors.com, то сможем увидеть, что это за устройство:
Теперь мы определили, откуда исходит шторм, и нам нужно выяснить, почему этот Hewlett Packard создает эти многоадресные штормы. Это можно сделать, исследуя устройство, или позвонить в службу поддержки.
2.2 Поиск шторма - зеркалирование портов
В некоторых случаях по журналам коммутатора не удается найти исходное устройство. Тогда необходимо выполнить зеркалирование портов или использовать Wireshark для захвата пакетов на ПК.
О том, как использовать зеркалирование портов, читайте в этой статье:
Nebula Debugging - Port mirroring & Packet Capturing
2.3 Поиск шторма - Wireshark
В некоторых случаях оригинальное устройство не удается найти по журналам коммутатора. Тогда необходимо выполнить зеркалирование портов или использовать Wireshark для захвата пакетов на ПК.
Итак, сначала подключите ПК к сети через кабель, откройте Wireshark и выберите используемый интерфейс (в моем случае для захвата пакетов используется WiFi адаптер, но лучше всего подключиться к коммутатору через кабель напрямую. Затем отфильтруйте многоадресные и широковещательные штормы с помощью фильтра:
multicast and broadcast
В моем случае ничего страшного не произошло, но мы увидели, что широковещательные пакеты исходят от одного конкретного устройства. Если бы эти пакеты заполонили мои журналы Wireshark (т.е. 30+ пакетов в секунду), мне бы пришлось решать эту проблему, изучая устройство и причины, по которым оно отправляет эти пакеты.
Видно, что время (в секундах) составляет примерно один пакет в секунду, что вовсе не является безумием.
Посмотрите на MAC-адрес этого устройства, мы можем увидеть MAC-адрес, если отметим широковещательный пакет от этого устройства Sagemcom и посмотрим ниже на захват пакетов.
Теперь, поскольку ранее не было найдено IP-адреса этого устройства, откроем Advanced IP scanner, чтобы узнать IP-адрес этого устройства по найденному MAC-адресу:
Он исходит от нашего маршрутизатора 192.168.1.1, и мы можем самостоятельно исследовать этот домашний маршрутизатор. Но в данном случае это был всего 1 пакет в секунду, поэтому я оставлю это.
3) Решение проблемы многоадресного и широковещательного шторма
Теперь вы нашли источник многоадресного или широковещательного шторма, и, конечно, мы хотим решить эту проблему. Существует четыре основных способа решения проблемы многоадресного/широковещательного шторма:
a) Определить, есть ли в сетипетля, и устранить ее - после этого многоадресные/широковещательные штормы исчезнут.
b) Включить функцию Storm control - ограничить количество многоадресных и/или широковещательных пакетов, передаваемых через порты в секунду, чтобы отбрасывать пакеты шторма еще до того, как они возникнут.
c) Включить IGMP Snooping (только для многоадресных штормов) - для контроля и направления многоадресного трафика только тем устройствам, которые его запрашивают, и игнорирования пакетов для всех остальных.
d) Отключить устройство от сети - или обратиться в службу поддержки производителя, чтобы выяснить, что происходит с устройством, поскольку это ненормально - забрасывать сеть многоадресными/широковещательными пакетами.
3.1 Включить управление штормом
3.1.1 В автономном режиме
Перейдите в раздел Advanced Application -> Broadcast Storm Control, а затем настройте порты, на которых расположены многоадресные/широковещательные штормы:
Включите Storm control на тех портах, где он необходим, и начните со значения 100 пакетов в секунду, а затем уменьшите до 70, если вы все еще испытываете шторм.
3.1.2 В Nebula
Перейдите к порту(ам), на котором(ых) обнаружен многоадресный/широковещательный шторм, и установите управление штормом, перейдя в меню Switch -> Monitor -> Switch -> Port
Включите управление штормом и начните со значения 100 пакетов в секунду, а затем уменьшите его до 70, если шторм все еще продолжается.
3.2 Включить IGMP Snooping (только для многоадресных штормов)
IGMP Snooping - это довольно большая тема, поэтому мы не будем углубляться в ее теорию. Однако ниже вы можете найти, где это настраивается.
3.2.1 В Nebula
Перейдите в меню Switch -> Configure -> Advanced IGMP
Включите IGMP snooping с помощью переключателя сверху.
3.2.2 В автономном режиме
Перейдите в раздел Advanced Application -> Multicast -> IPv4 Multicast -> IGMP Snooping
Щелкните на "Active", нажмите кнопку apply и сохраните конфигурацию перед выходом из коммутатора.
Подробнее читайте здесь:
Как настроить IGMP Snooping для многоадресных клиентов в одной локальной сети
3.3 Устранение или решение проблемы неправильного поведения устройства
Если многоадресные/широковещательные штормы по-прежнему нарушают работу сети, необходимо отключить устройство от сети.
Можно также обратиться в службу поддержки производителя (вендора) устройства, вызывающего штормы, чтобы выяснить причину их возникновения и попытаться устранить ее с помощью службы поддержки производителя (вендора) устройства.