我在管理的小型网络中遇到了一个大问题。这个网络是 Apple 网络,有 airport extremes、expresses、mac book pro、imac、ipad、iphone 等...
今天我去给这个网络添加一些东西,发现交换机上的灯疯狂闪烁。注意到这一点后,我启动了 wireshark 并查看了我的防火墙日志文件。
我在日志文件中反复看到的一行是
拒绝 10.0.3.100 224.0.0.251 mdns/udp 5353 5353 1-Trusted Firebox udp 泛洪 123 255(内部策略)proc_id="firewall" rc="101"
源 IP 发生变化(10.0.3.100),但消息保持不变。
我遇到了一个大问题,不知道是什么原因造成的。当我连接无线接入点时,我无法连接到网络上的任何东西。当我拔下它们时,网络正常,并没有被这种流量淹没。
有人有什么好的方法来诊断这个问题吗?我不确定这是刚开始的还是一直都是这样,因为我现在才注意到。
更新:我运行 wireshark 时看到的消息如下:
25 0.006498000 10.0.3.3 224.0.0.251 MDNS 135 标准查询响应 0x0000 A,缓存刷新 10.0.3.3 A,缓存刷新 169.254.233.55
答案1
您的网络上的多台机器似乎正在使用多播 DNS。
您可能正在创建某种网络循环。例如,如果数据包从物理网络向上传输到一个 AP,该 AP 会将其转发到下一个 AP,然后该 AP 会将其发送回物理网络。
您应该考虑检查您的交换/网络硬件配置,因为您似乎有一个交换环路。
什么是开关回路?检查一下: http://www.omnisecu.com/cisco-certified-network-associate-ccna/what-is-layer-2-switching-loop.htm
答案2
如果是交换机环路,您会看到比 MDNS 流量多得多的信息。如果交换机环路,所有帧都会无休止地通过环路转发,网络会在很短的时间内变得几乎无法使用。如果您可以查看其中一个交换机的 CPU 利用率,它也会告诉您是否存在环路。如果存在环路,则 CPU 利用率将达到最大值(或非常接近最大值),并且将保持这种状态,直到环路被移除或交换机断电重启(但如果环路仍然存在,则 CPU 将再次达到最大值)。您是否在 Wireshark 捕获中多次看到相同的帧?如果是,则存在环路。如果不是,则不存在环路。您更可能遇到的是由于设备配置错误或故障而导致的交换机泛洪。找到帧的来源并将其与网络断开。活动是否恢复正常?Wireshark 捕获看起来正常吗?
答案3
您的服务器上运行着一些服务(例如 DNSCache DNS 客户端、CryptSvc、LANManWorkstation、NLASvc 网络位置感知和 WinRM),它们使用 UDP 5353 进行广播,以编录/缓存该网段上的服务器。Bonjour 是另一种可以使用 5353(多播 DNS)的服务。根据您的系统是否使用这些服务,您可能需要禁用 DNS 客户端和 LANManWorkstation 服务。