Muito tráfego multicast na LAN

5

Recentemente, toda a rede em funcionamento está sendo atingida pelo tráfego multicast originado na própria LAN. Eu fiz algumas investigações e o serviço que parece ser responsável é o ws-discovery.

Anexei uma captura de tela do wireshark capturando o tráfego. Tentei desligar a máquina de origem da qual ela se originava, mas o tráfego multicast ainda parece estar presente na rede.

Imagem

Minha topologia de rede

2 sub-redes - 10.10.10.0/24 e 10.20.10.0/24. Gateway é um sistema debian. Temos 3 interruptores para 3 andares. Todos eles são switches Dlink de 24 portas não gerenciados.

O bloqueio de multicast no nível do comutador está fora de questão. Alguma solução? :(

Nel
fonte
Você não possui nenhum loop de rede (em topologia), possui? Isso poderia explicar facilmente o tráfego fantasma. Além disso, existem alguns serviços / programas que podem depender do ws-discovery, portanto, desabilitar completamente a etiqueta pode não ser viável. Limitá-lo a níveis 'normais' pode ser mais adequado.
Joris
Que tipo de loops eu deveria estar procurando? Desculpe, ainda sou um novato! Também é o svchost.exe quem responde em todas as máquinas. O ip multicast é 239.255.255.250. O multicast estava indo para o ws-discovery, cuja porta era 3702. No momento, está completamente parado.
Nel
11
AHHHHH! Você estava certo! Foi um loop de rede. Uma pessoa havia conectado novamente um fio do interruptor pendurado livremente !!! Jeebus! Obrigado Joris
Nel
@Joris por curiosidade, por que você fez sua sugestão de loop como um comentário, em vez de uma resposta? Vi muitas pessoas fazendo o mesmo recentemente no serverfault, mas não sei por que.
Daniel Daniel
@Joris Sim, por favor postá-lo como um comentário para que eu possa selecioná-lo como uma resposta;)
Nel

Respostas:

1

Vi tráfego muito semelhante na minha própria rede. Acabou sendo um ponto de encontro mal configurado nas configurações do roteador Cisco. O multicast na terra da Cisco requer um ponto de encontro para evitar loops. Mas não sei se isso é aplicável na sua configuração.

sysadmin1138
fonte
Temos um Cisco 1841, mas isso é voltado para fora do gateway. Eu não acho que esse seja o problema, embora eu possa dar uma olhada. O tráfego multicast estava em cerca de 9 a 10 Mbits, o que levou toda a rede a rastrear, mas agora está em 1-2 Mbits, não tenho idéia de como ou por que foi reduzido!
Nel
@nel Vale a pena dar uma olhada. O evento em que estou pensando teve alguns equipamentos Cisco repetindo o tráfego mcast que estava vendo.
sysadmin1138
Apenas verificado nas configurações, nada relacionado ao multicast está configurado lá.
Nel
@Nel Pode ser necessário definir algo. Infelizmente, eu não sou fluente na Cisco, então alguém terá que ajudá-lo com isso.
sysadmin1138