Switching - Felsökning av multicast- och broadcast-stormar

Den här artikeln visar hur du kan se vilken enhet som orsakar multicast- eller broadcast-stormar i ditt nätverk och om det finns en loop i nätverket. Vi kommer att ta en titt på multicast-stormar och broadcast-stormar, var de kommer ifrån, hur man hittar en multicast/broadcast-storm. Hur man använder switch-loggar, port mirror (spegling) och Wireshark för att lokalisera den multicast storm-enhet som orsakar stormarna.

1) Inledning

1.1 Vad är en multicast & broadcast storm?

En broadcast/multicast storm är en stor mängd broadcast- och multicasttrafik som översvämmar ett nätverk. När det finns många av dessa paket kan det påverka nätverkets prestanda och kräva mycket resurser av den installerade nätverksutrustningen, vilket kan störa nätverket. Dessa problem kallas för "broadcast storms" och "multicast storms".

1.2 Varifrån kommer multicast & broadcast storm?

Broadcast-paket skickas över hela nätverket till alla nätverksenheter i ett nätverk. De flesta enheter behöver inte dessa broadcast-paket och kasserar dem. De används främst för att låta andra nätverksenheter i ett nätverk veta att en viss enhet existerar, eller för att låta andra enheter veta att de är tillgängliga för kommunikation. Ett exempel på ett broadcast-paket kan vara ett DHCP-paket.

Multicast-trafik kommer i form av en typ av broadcast. Den skickar paket till alla enheter i en viss broadcast-domän (224.0.0.0 till 239.255.255.255) och används oftaför att strömma video. Chromecasts, Apple TV, IPTV etc. använder alla multicast-trafik för att strömma video över IP.

1.3 Hur vet jag om jag har en multicast/broadcast storm

a) Du hittar Multicast/broadcast storm i loggarna

b) Långsamt och/eller instabilt nätverk, ofta bara för vissa delar av nätverket

2) Lokalisera din multicast/broadcast storm

Att hitta en multicast storm är ganska enkelt - du tittar i loggarna för dina switchar.

För både fristående växlar och Nebula-växlar gäller att en broadcast- och multicast-storm loggas av växeln i loggsystemet.

2.1 Hitta en storm - växelloggar

Detta är det enklaste sättet att lokalisera en broadcast/multicast storm. I det här exemplet kan vi se att det pågår multicast-stormar i vårt nätverk.

Om vi går till Switch -> Event Logs, kan vi se att det är konstant multicast storms som händer på SW1 (GS1920-24) på port 23 och SW2 (Hidden name) på port 10

Om vi går in i SW1 kan vi se att port 23 är en uplink, så det betyder bara att multicast-stormen har färdats till uplink-porten från någon annanstans. Detta är ett naturligt beteende hos en storm och säger inte så mycket eftersom den kan komma från var som helst bakom uplink-porten.

Om vi tittar på SW2 kan vi se att port 10 inte är en uplink-port, utan är ansluten till en enda enhet.

Om vi klickar på port 10 för att komma till port 10-sidan i Nebula och sedan skrollar ner till MAC-tabellen som finns nedan till höger på skärmen, kan vi ta reda på vilken MAC-adress som orsakar denna multicast-storm.

Om vi sedan går in på https://macvendors.com kan vi se vilken typ av enhet det är:

Nu har vi lokaliserat varifrån stormen kommer och vi måste ta reda på varför denna Hewlett Packard skapar dessa multicast-stormar. Detta kan göras genom att undersöka enheten, eller så kan vi ringa deras support.

2.2 Hitta stormen - Portspegling

I vissa fall kommer du inte att hitta den ursprungliga enheten med hjälp av switch-loggar. Då måste du göra en portspegling, eller använda Wireshark för att fånga paketen på din dator.

Ta en titt på den här artikeln för hur du använder portspegling:

Nebula felsökning - Portspegling och paketinspelning

2.3 Hitta storm - Wireshark

I vissa fall kan du inte hitta den ursprungliga enheten med hjälp av switchens loggar. Då måste du göra en portspegling, eller använda Wireshark för att fånga paketen på din dator.

Så först ansluter du en dator till nätverket via kabel, öppnar Wireshark och väljer vilket gränssnitt du använder (i mitt fall använder jag min WiFi-adapter för att fånga paket, men det är bäst att ansluta dig via kabel direkt till switchen. Filtrera sedan multicast- och broadcast-stormarna med filtret:

multicast and broadcast

I mitt fall var det inte något galet som hände, men vi kunde se att det kom broadcast-paket från en viss enhet. Om dessa paket översvämmade mina Wireshark-loggar (dvs. 30+ paket per sekund), skulle jag behöva ta itu med problemet genom att titta närmare på den här enheten och varför den skickar dessa paket.

Du kan se att tiden (i sekunder) är ungefär ett paket per sekund, vilket inte alls är galet.

Titta på MAC-adressen för denna enhet, vi kan se MAC-adressen om vi markerar broadcast-paketet från denna Sagemcom-enhet och tittar nedanför paketupptagningen.

Nu, eftersom det inte fanns någon IP-adress för den här enheten vi hittade tidigare, kommer vi istället att öppna Advanced IP-skanner för att ta reda på IP-adressen för den enheten via MAC-adressen vi hittade:

Den kommer från vår router 192.168.1.1 och vi kan antingen undersöka den hemroutern på egen hand. Men i det här fallet var det bara 1 paket per sekund, så jag kommer att lämna detta.

3) Lösa en multicast och broadcast storm

Nu har du hittat källan till multicast- eller broadcast-stormen och naturligtvis vill vi lösa det. Det finns fyra huvudsakliga sätt att lösa multicast-/broadcast-stormar:

a) Identifiera om det finns en loop i nätverket och ta bort loopen - multicast/broadcast-stormarna kommer att försvinna efteråt

b) Aktivera Storm control - för att begränsa antalet multicast- och/eller broadcast-paket som skickas genom portarna per sekund, så att stormpaketen släpps innan de ens har uppstått

c) Aktivera IGMP Snooping (endast för multicast-stormar) - för att kontrollera och styra multicast-trafiken till endast de enheter som ber om det och ignorera paketen för alla andra

d) Koppla bort enheten från nätverket - eller kontakta leverantörens support för att se vad som händer med enheten, eftersom det inte är normalt att översvämma ett nätverk med multicast/broadcast-paket

3.1 Aktivera stormkontroll

3.1.1 I fristående

Navigera till Advanced Application -> Broadcast Storm Control och konfigurera sedan de portar där du har placerat din multicast/broadcast storm:

Aktivera Storm control på de portar där det behövs och börja med värdet 100 paket per sekund och minska sedan till 70 om du fortfarande upplever stormar.

3.1.2 I Nebula

Navigera till den eller de portar där du har hittat din multicast/broadcast-storm och ställ in en stormkontroll genom att navigera till Switch -> Monitor -> Switch -> Port

Aktivera Storm control och börja med värdet 100 paket per sekund och minska sedan till 70 om du fortfarande upplever stormar.

3.2 Aktivera IGMP Snooping (endast för multicast-stormar)

IGMP snooping är ett ganska stort ämne så vi kommer inte att gå in på teorin om det. Du kan dock hitta var du konfigurerar detta nedan.

3.2.1 I Nebula

Navigera till Switch -> Configure -> Advanced IGMP

Aktivera IGMP snooping med switchen på toppen.

3.2.2 I fristående

Navigera till Avancerad applikation -> Multicast -> IPv4 Multicast -> IGMP Snooping

Klicka på "Active", tryck på apply och spara sedan konfigurationen innan du lämnar växeln.

Läs mer här:

Så här konfigurerar du IGMP Snooping för multicast-klienter i samma LAN

3.3 Lokalisera eller lösa ett felaktigt enhetsbeteende

Om det fortfarande förekommer multicast-/broadcast-stormar som stör nätverket måste du koppla bort enheten från nätverket.

Du kan också kontakta tillverkarens (leverantörens) support för den enhet som orsakar stormarna för att ta reda på varför den orsakar stormarna och försöka lösa det med hjälp av tillverkarens (leverantörens) support.