Prepínanie - Riešenie problémov s multicastom a broadcastovými búrkami

V tomto článku sa dozviete, ako zistiť, ktoré zariadenie spôsobuje multicastové alebo broadcastové búrky vo vašej sieti a či v sieti existuje slučka. Pozrieme sa na búrky multicast & broadcast, odkiaľ pochádzajú, ako nájsť búrku multicast/broadcast. Ako použiť protokoly prepínača, zrkadlenie portov (mirroring) a Wireshark na lokalizáciu zariadenia spôsobujúceho multicastové búrky.

1) Úvod

1.1 Čo je búrka multicast a broadcast?

Búrka broadcast/multicast je veľké množstvo broadcastovej a multicastovej prevádzky, ktorá zaplavuje sieť. Keď je týchto paketov veľa, môže to mať vplyv na výkon siete a vyžaduje si to veľa zdrojov inštalovaného sieťového zariadenia, čo môže narušiť sieť. Tieto problémy sa nazývajú "broadcastové búrky" a "multicastové búrky".

1.2. Odkiaľ pochádza búrka multicast a broadcast?

Vysielacie pakety sa posielajú v celej sieti všetkým sieťovým zariadeniam v sieti. Väčšina zariadení tieto broadcast pakety nepotrebuje a zahodí ich. Väčšinou sa používa na to, aby ostatné sieťové zariadenia v sieti vedeli, že určité zariadenie existuje, alebo aby ostatné zariadenia vedeli, že sú k dispozícii na komunikáciu. Príkladom vysielacieho paketu môže byť paket DHCP.

Multicastová prevádzka prichádza vo forme typu vysielania. Odošle pakety všetkým zariadeniam v určitej doméne vysielania (224.0.0.0 až 239.255.255.255) a často sa používana streamovanie videa. Zariadenia Chromecast, Apple TV, IPTV atď. využívajú multicastovú prevádzku na streamovanie videa cez IP.

1.3 Ako zistím, či mám multicast/broadcastovú búrku

a) V protokoloch nájdete položku Multicast/broadcast storm (búrka vysielania viacerých vysielateľov).

b) Pomalá a/alebo nestabilná sieť, často len pre niektoré časti siete.

2) Lokalizácia búrky multicast/broadcast

Lokalizácia multicastovej búrky je pomerne jednoduchá - pozriete sa do protokolov svojich prepínačov.

V prípade samostatných prepínačov aj prepínačov Nebula sa búrka vysielania a multicast zaznamenáva prepínačom v systéme protokolov.

2.1 Vyhľadanie búrky - protokoly prepínača

Toto je najjednoduchší spôsob vyhľadania broadcast/multicastovej búrky. V tomto príklade vidíme, že v našej sieti dochádza k búrkam multicast.

Ak prejdeme na Switch -> Event Logs (Denníky udalostí), vidíme, že na SW1 (GS1920-24) na porte 23 a SW2 (Hidden name) na porte 10 neustále prebiehajú multicastové búrky.

Ak vojdeme do SW1, vidíme, že port 23 je uplink, takže to len znamená, že multicastová búrka prešla na uplink port odinakiaľ. Je to prirodzené správanie búrky a veľa nehovorí, pretože môže prísť odkiaľkoľvek za tento uplink port.

Ak sa pozrieme na SW2, vidíme, že port 10 nie je uplink port a je pripojený k jednému jedinému zariadeniu.

Ak klikneme na port 10, aby sme sa dostali na stránku portu 10 v programe Nebula, a potom prejdeme na tabuľku MAC umiestnenú nižšie v pravej časti obrazovky, môžeme zistiť, aká adresa MAC spôsobuje túto multicastovú búrku.

Ak potom prejdeme na stránku https://macvendors.com, môžeme zistiť, o aký typ zariadenia ide:

Teraz sme zistili, odkiaľ búrka prichádza, a musíme zistiť, prečo tento Hewlett Packard vytvára tieto multicastové búrky. To môžeme urobiť preskúmaním zariadenia alebo môžeme zavolať na ich podporu.

2.2 Vyhľadanie búrky - zrkadlenie portov

V niektorých prípadoch pôvodné zariadenie pomocou protokolov prepínača nenájdete. Vtedy musíte vykonať zrkadlenie portov alebo pomocou programu Wireshark zachytiť pakety na počítači.

Pozrite si tento článok, v ktorom sa dozviete, ako používať zrkadlenie portov:

Nebula Debugging - Port mirroring & Packet Capturing

2.3 Vyhľadávanie búrok - Wireshark

V niektorých prípadoch sa vám nepodarí nájsť pôvodné zariadenie pomocou protokolov prepínača. Vtedy musíte vykonať zrkadlenie portov alebo pomocou programu Wireshark zachytiť pakety na počítači.

Takže najprv pripojte počítač k sieti pomocou kábla, otvorte Wireshark a vyberte, aké rozhranie používate (v mojom prípade používam na zachytávanie paketov adaptér WiFi, ale najlepšie je pripojiť sa pomocou kábla priamo k prepínaču. Potom filtrujte multicastové a broadcastové búrky pomocou filtra:

V mojom prípade sa nedialo nič šialené, ale bolo vidieť, že z jedného konkrétneho zariadenia prichádzajú broadcast pakety. Ak by tieto pakety zaplavovali moje protokoly Wireshark (t. j. viac ako 30 paketov za sekundu), musel by som tento problém riešiť hlbším skúmaním tohto zariadenia a zistiť, prečo tieto pakety odosiela.

Mohli ste vidieť, že čas (v sekundách) je približne jeden paket za sekundu, čo vôbec nie je šialené.

Pozrite sa na adresu MAC tohto zariadenia, adresu MAC môžeme vidieť, ak označíme broadcastový paket z tohto zariadenia Sagemcom a pozrieme sa pod zachytenie paketu.

Keďže sme predtým nenašli žiadnu IP adresu tohto zariadenia, namiesto toho otvoríme Advanced IP scanner, aby sme zistili IP adresu tohto zariadenia prostredníctvom nájdenej MAC adresy:

Tá pochádza z nášho smerovača 192.168.1.1 a my môžeme tento domáci smerovač buď preskúmať sami. V tomto prípade to však bol len 1 paket za sekundu, takže to nechám tak.

3) Riešenie búrky multicast a broadcast

Teraz ste našli zdroj búrky multicast alebo broadcast a samozrejme ju chceme vyriešiť. Existujú štyri hlavné spôsoby, ako môžete vyriešiť búrky multicast/broadcast:

a) Zistite, či je v sietislučka, a odstráňte ju - multicastové/rozhlasové búrky potom zmiznú.

b) Zapnúť riadenie búrok - obmedziť množstvo paketov multicast a/alebo broadcast, ktoré sa posielajú cez porty za sekundu, aby sa pakety búrok zahodili ešte predtým, ako sa vyskytnú.

c) Povoľte IGMP Snooping (len pre multicastové búrky) - na riadenie a smerovanie multicastovej prevádzky len do zariadení, ktoré o ne žiadajú, a ignorovanie paketov pre všetky ostatné

d) Odpojenie zariadenia od siete - alebo sa obráťte na podporu dodávateľa, aby ste zistili, čo sa s daným zariadením deje, pretože nie je normálne zaplavovať sieť paketmi multicast/broadcast

3.1 Povolenie kontroly búrok

3.1.1 V režime Stand-alone

Prejdite na Advanced Application (Rozšírené aplikácie) -> Broadcast Storm Control (Riadenie búrok vysielania) a potom nakonfigurujte porty, na ktorých ste umiestnili multicast/broadcast storm:

Povoľte riadenie búrok na tých portoch, kde je to potrebné, a začnite s hodnotou 100 paketov za sekundu a potom ju znížte na 70, ak sa stále vyskytujú búrky.

3.1.2 V programe Nebula

Prejdite na port(-y), na ktorom(-ých) sa nachádza multicast/broadcast búrka, a nastavte riadenie búrok tak, že prejdete na Switch -> Monitor -> Switch -> Port

Zapnite riadenie búrok a začnite s hodnotou 100 paketov za sekundu a potom ju znížte na 70, ak sa búrky stále vyskytujú.

3.2. Zapnite funkciu IGMP Snooping (len pre búrky multicast)

IGMP snooping je tak trochu veľká téma, takže sa nebudeme zaoberať jej teóriou. Nižšie však nájdete miesto, kde ho môžete nakonfigurovať.

3.2.1 V programe Nebula

Prejdite na Prepínač -> Konfigurácia -> Rozšírené IGMP

Povoľte IGMP snooping pomocou prepínača v hornej časti.

3.2.2 V režime Stand-alone

Prejdite do časti Rozšírené aplikácie -> Multicast -> IPv4 Multicast -> IGMP Snooping

Kliknite na "Active" (Aktívne), stlačte tlačidlo apply (Použiť) a potom uložte konfiguráciu pred opustením prepínača.

Viac informácií nájdete tu:

Ako nakonfigurovať IGMP Snooping pre klientov multicast v rovnakej sieti LAN

3.3 Dislokácia alebo riešenie chybného správania zariadenia

Ak stále dochádza k búrkam multicast/broadcast, ktoré narúšajú vašu sieť, musíte zariadenie odpojiť od siete.

Môžete tiež kontaktovať podporu výrobcu (predajcu) zariadenia, ktoré spôsobuje búrky, aby ste zistili, prečo spôsobuje búrky, a pokúsiť sa to vyriešiť prostredníctvom podpory výrobcu (predajcu) zariadenia.