Multicast & Routeurs GROS PROBLEME

Question

Bonjour à tous,

J'étais entrain d'analyser les logs de l'entreprise lorsque j'ai noté d'importantes communications ayant comme destination ou source, l'IP 224.0.0.2 qui correspond si je ne m'abuse à l'adresse de multicast des routeurs d'un sous réseau ....

Est-ce normal ? il y en a vraiment énormément beaucoup chaque jour :

9273 udp 
487 udp
1798 udp 
2595 udp 
6062 udp
5382 udp 
8496 udp
3453 udp 

Et ce , juste pour UNE semaine lambda ....... est-ce que ce trafic est normal  ? je connais le fonctionnement des requêtes IGMP, etc. mais il me semble que c'est vraiment énorme en quantité.

Si oui, comment palier à ce problème ?

Merci beaucoup,

dimitri (dans la mouise!)

dimitri · Answer

hummmm

Squalltrial · Answer

tu as pas des congestions reseau qui se font ?

dimitri · Answer

si tout à fait, ... , et je pense que ces ralentissements réseau viennent de là ... qu'en penses tu ?

dimitri · Answer

je continue à analyse mes LOGS et je remarque que certains jours, il y a plus de 30 000 requêtes vers le 224.0.0.2 ... j'avoue ne pas comprendre.

De plus, mon supérieur affirme que le multicast est désctivé dans l'entreprise.

hummmm...

Squalltrial · Answer

Tu as vérifié tes câbles RJ5, car il suffit que tu ai fait une boucle et les infos s'entassent a la suite...

Vérifie tes branchement dans un premier temps, moi ça ma fait ça et j'ai compris que j'avai une congestion quand un utilisateur a grillé un switch... et en regardant mes branchement j'ai trouvé un cable qui reliait le premier switch et le dernier....

Sinon pour tes congestions j'ai pas trop d'idées

dimitri · Answer

je vais essayer de regarder çà demain ... merci.

le soucis c'est que il y a une multitude de locaux techniques avec les routeur/switchs/châssis, je vais rigoler, lol.

Sinon pour le nombre de requêtes vers le 224.0.0.2, cela te semble normal ou comme moi, vraiment démesuré ?

j'ai vu toute à l'heure, 30 000 requêtes pour une seule journée ^^

merci beaucoup !

dimitri · Answer

vraiment bizarre...ca me prend le chou

brupala · Answer

Salut,
il n'ya pas un du routage rip (V2) .
tu ne vois pas la ou les adresses source de ces multicast ?

dimitri · Answer

Salut,

Si j'ai les adresses sources ! :) 

mais il y en un bon paquet.

D'où vient ce problème ? Est-ce que cela peut nuire au bon fonctionnement du réseau étant donné le nombre conséquent de requêtes ? Congestion, etc..

merci

dimitri · Answer

mais je fais pas la concordance entre les demandes de jonction à un groupe de diffusion et toutes ces requêtes là ... c'est un peu gros.

je continue mes recherches .......

brupala · Answer

en même temps,
30 000, c'est une toutes les 3 secondes, pas gigantesque non plus et pas de quoi bloquer un réseau si ça n'est pas par paquets de 5000 pendant 30s .
il faut vraiment voir ip source par ip source , en commençant par ceux qui bombardent le plus en pourcentage .

dimitri · Answer

En fait, je n'ai pas le détail des heures à laquelle elles sont envoyées.

Par contre, je sais que : 


2541 udp XX.XX.XX.2(1985) 224.0.0.2(1985)
28990 udp XX.XX.XX.3(1985) 224.0.0.2(1985)
5170 udp XX.XX.XX.2(1985) 224.0.0.2(1985)
9462 udp XX.XX.XX.3(1985) 224.0.0.2(1985)
6076 udp XX.XX.XX.2(1985) 224.0.0.2(1985)
4612 udp XX.XX.XX.3(1985) 224.0.0.2(1985)
5064 udp XX.XX.XX.2(1985) 224.0.0.2(1985)
8827 udp XX.XX.XX.3(1985) 224.0.0.2(1985)
5741 udp  XX.XX.XX.2(1985) 224.0.0.2(1985)
13916 udp XX.XX.XX.3(1985) 224.0.0.2(1985)


Donc le trafic est généré uniquement par cesdeux adresses IP là.

Je me demande donc si c'est vraiment "logique" ^^

dimitri · Answer

tant que j'y suis, j'en profite :

Pourquoi ce genre de trames sont générées s'il te plaît ?

Rejoindre un groupe de diffusion ? Echange des tables de diffusion ? j'dis sûrement des bêtises.

dimitri · Answer

ce sont mes deux châssis .

:)

dimitri · Answer

DOnc cela me choque encore plus

dimitri · Answer

au cas où brupala, ce sont des châssis CISCO Catalyst 4506, il y en à 2 comme mentionné ci-dessus.

dimitri · Answer

Oui tout à fait d'accord!

Par contre, pour la manip., je ne peux malheureusement pas prendre la main dessus...

Je suppose que c'était pour désactiver le routage multicast ???

On me maintient que le multicast est désactivé dans notre entreprise. Or, au vue des requêtes vers le 224.0.0.2, je pense qu'il y à erreur.

Arrête moi si je dis des âneries

merci beaucoup

dimitri · Answer

Oui visiblement :)

j'comprends toujours pas pourquoi ces routeurs génèrent ces requêtes au final vu qu'ils sont censés gérer les tables multicast et envoyés à intervalles régulières de 125 sec des "Host membership query" pour connaître les membres du groupe Multicast ....... :)

Ils envoient çà pour rien ?

dimitri · Answer

je rame ^^

dimitri · Answer

hummmm .... bon et bien je vais tenter alors .... bizarre quand même . 
en source ya bien les châssis dans les logs :/
j'vais essayer de posser un sniffer pas loin et voir ce que çà donne ....

dimitri · Answer

jle lisais pour essayer de comprendre ... merci beaucoup ;)

j'espère y trouver bonheur ...

dimitri · Answer

je ne peux rien faire de plus à mon niveau ... donc, j'abandonne ... :(

dimitri · Answer

brupala,

je me suis mis sur le serveur d'audit, je sniffe le réseau donc j'ai environ ~50 trames / minutes ayant comme adresse source , un châssis ou l'autre, puis en destination le 224.0.0.2.

Je te montre un screen pour te donner le point de vue :

http://www.hostingpics.net/viewer.php?id=599703_MultiCast2.jpg

Si tu peux me donner ton avis .... Merci infiniement

dimitri · Answer

Mon avis : Chaque routeur appartient à un groupe. Dans ce groupe, un routeur est élu maître. Périodiquement (quasimment toutes les 1 sec à la vue de la capture ??....) s'échangent des messages "Hello" pour s'assure que les routeurs du groupe sont joignables. Si un lien tombe, l'élection d'un nouveau routeur en tant que maître est établi. Ce dernier récupèrera l'IP et MAC virtuelle ... du routeur qui était maître ...

brupala ? :D
________________

"Le protocole Hot Standby Router Protocol (HSRP) est un protocole propriétaire de Cisco implémenté sur les routeurs permettant une continuité de service. Chaque routeur utilisant le protocole HSRP appartient à un groupe. Dans ce groupe, un routeur sera élu : celui qui aura la priorité la plus élevée. Ce routeur sera le routeur actif du groupe. Périodiquement, les routeurs échangent des messages Hello pour s'assurer que les routeurs du groupe sont encore joignables. Si le routeur nominal devient inaccessible, ou si le lien tombe, un autre routeur sera élu : celui qui a la deuxième priorité la plus élevée. Tous les messages entre les routeurs sont échangés en utilisant l'adresse multicast 224.0.0.2 (qui correspond à tous les routeurs du lien local) via UDP sur le port 1985. Le routeur ayant la priorité la plus élevée comportera une adresse IP virtuelle ainsi qu'une adresse MAC virtuelle (0000.0c07.ac0A). Ces deux paramètres s'ajoutant à la configuration classique du routeur. Lorsque le routeur actif du groupe devient injoignable, un autre routeur prend le relais et récupère ainsi l'adresse IP virtuelle et l'adresse MAC virtuelle."

dimitri · Answer

Je ne vois pas d'iP/MAC virtuelle par contre. A part que ce soit l'IP / MAC  correspondant aux châssis ? :o

Merci!

dimitri · Answer

voilou :)

Multicast & Routeurs GROS PROBLEME

26 réponses

Votre réponse

Discussions similaires

Newsletters