Estou com um grande problema em uma pequena rede que gerencio. Esta rede é uma rede da Apple, com aeroportos extremos, expressos, imac's, ipads, iphones etc ...
Eu fui adicionar algo a esta rede hoje e notei luzes piscando como louco no interruptor. Depois de perceber isso, comecei a wireshark e dei uma olhada no meu arquivo de log do firewall.
A linha que vejo nos arquivos de log é
Negar 10.0.3.100 224.0.0.251 mdns / udp 5353 5353 1-Confiável udp flooding do Firebox 123 255 (Política Interna) proc_id="firewall" rc="101"
O ip da fonte muda (10.0.3.100) mas a mensagem permanece a mesma.
Estou tendo um grande problema para descobrir o que está causando isso. Quando tenho os meus pontos de acesso sem fios ligados, não consigo ligar a nada na rede. Quando eu desconecto-los, a rede está ok e não está saturada com esse tráfego.
Alguém tem boas maneiras de diagnosticar esse problema? Eu não tenho certeza se isso acabou de começar ou se sempre foi o caso desde que eu notei isso agora.
UPDATE: A mensagem que vejo quando corri o wireshark é a seguinte:
25 0,006498000 10.0.3.3 224.0.0.251 MDNS 135 Resposta de consulta padrão 0x0000 A, cache flush 10.0.3.3 A, cache flush 169.254.233.55
Várias máquinas na sua rede parecem estar usando o DNS multicast.
Você pode estar criando algum tipo de loop de rede. Por exemplo, se pacotes estão viajando da rede física até um AP, que o encaminha para o próximo AP, que o envia de volta para a rede física.
Você deve considerar revisar sua configuração de hardware de comutação / rede, já que parece ter um loop de comutação.
O que é um loop de comutação? Verifique isso: link
Se fosse um loop de switch, você veria muito mais do que apenas o tráfego MDNS. Com um loop de switch, TODOS os quadros são encaminhados indefinidamente através do loop e a rede se tornaria praticamente inutilizável em muito pouco tempo. Se você pode olhar para a utilização da CPU em um dos switches que também irá dizer se existe ou não um loop. Se existir um loop, a utilização da CPU irá maximizar (ou estará muito próxima) e permanecerá assim até que o loop seja removido ou o switch seja desligado (mas, se o loop ainda existir, a CPU retornará ao máximo). Você vê os mesmos quadros várias vezes na captura do Wireshark? Se sim, você tem um loop. Se não, então você não faz. O que você provavelmente tem é a sobrecarga do switch devido a um dispositivo mal configurado ou com defeito. Encontre a fonte dos quadros e desconecte-os da rede. A atividade volta ao normal? A captura do Wireshark parece normal?
Existem Serviços que são executados em seus Servidores (por exemplo, DNS DNS Client, CryptSvc, LANManWorkstation, NLASvc Network Location Awareness e WinRM) que transmitem usando UDP 5353 para catalogar / armazenar em cache quais servidores estão no segmento. O Bonjour é outro serviço que pode estar presente usando o 5353 (Multicast DNS). Dependendo se o seu sistema está usando esses, você pode querer desabilitar os serviços Cliente DNS e LANManWorkstation.