Перейти к содержимому
Калькуляторы

PIM Hello и Assert подозрительная активность

В сети есть mvr. Заметил, что временами в клиентский порт прилетает пачка PIM Hello и PIM Assert. Т.е. обычно только PIM Hello раз в 30 секунд прилетает, но потом бац и 70 пакетов за секунду, а может и больше, прилетает Hello и Assert в перемешку через одного. Смотрел вирешарком, соержимое разное, значит не петля. Есть подозрение, что в такие моменты каналы подсыпаются.

 

Что это может быть ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем у вас на клиентском интерфейсе PIM в активном режиме вообще? Это в принципе неправильно, к клиенту hello не должно быть - он же может включить у себя PIM, и начать вам что нибудь слать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Assert посылается когда в сегменте больше одного маршрутизатора PIM, это стандартное поведение протокола, так исключается дублирование мультикаст вещания одновременно несколькими маршрутизаторами в сегменте. В одном вилане пачками они прилетать не должны однозначно, надо включать дебаг PIM и разбираться почему так происходит.

Частично согласен с предыдущим оратором: отключить PIM Hello скорее всего нельзя, однако запретить или ограничить PIM соседства на абонентских портах однозначно стоит.

И по вашему сообщению не понятно от кого прилетают PIM Hello и Assert, от ваших же маршрутизаторов или это абоненты изучают сетевые протоколы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Assert посылается когда в сегменте больше одного маршрутизатора PIM, это стандартное поведение протокола, так исключается дублирование мультикаст вещания одновременно несколькими маршрутизаторами в сегменте. В одном вилане пачками они прилетать не должны однозначно, надо включать дебаг PIM и разбираться почему так происходит.

Частично согласен с предыдущим оратором: отключить PIM Hello скорее всего нельзя, однако запретить или ограничить PIM соседства на абонентских портах однозначно стоит.

И по вашему сообщению не понятно от кого прилетают PIM Hello и Assert, от ваших же маршрутизаторов или это абоненты изучают сетевые протоколы.

 

Ну тутпросто так было сделано, пока не ясно почему. Либо это действительно было надо, либо просто забыли или не знали, что надо отключать. Все Hello и Assert летят от маршрутизатора сети, т.е. не от разных, а от одного, который и есть главный (судя по сорс маку).

 

Посмотрел: pim на клиентском интерфейсе выключен, скорее всего он через mvr залетает. Т.е. клиенты на него поаффектить не могут, но на него что-то другое аффектит значит. И ещё почему-то везде включено ip pim sparse-dense-mode, ip pim sparse-mode только в одном месте включено. почему так, пока нет возможности спросить, знающие люди в отпуске.

Изменено пользователем wtyd

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

PIM sparse-dense это (по крайней мене на цисках) pim sparse для всех групп кроме тех, для которых указано что они dense, то есть при настройках по умолчанию в работе sparse-dense = sparse.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

PIM sparse-dense это (по крайней мене на цисках) pim sparse для всех групп кроме тех, для которых указано что они dense, то есть при настройках по умолчанию в работе sparse-dense = sparse.

 

Поменял везде, где нашёл, на sparse, пока что пачек пакетов не видел, но единичные hello и asert есть. Так что есть разница между sparse-dense и sparse (может быть времени мало прошло и они ещё прилетят :-)). Hello раз в 30 секунд или на каждый assert, а assert стали не часто и по одному прилетать. Прилетает всё это действительно скорее всего через mvr. Интересно, клиенты могут поафектить своим пимом или нет ?

 

Ещё пробовал на mvr влане убирать pim и вместе с ним пропадает igmp snooping, т.е. перестаёт показывать. Так и должно быть или надо как-то по-другому сделать ? В mvr влане роутеров мультикаста нет и источников тоже, есть только абоненты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно, клиенты могут поафектить своим пимом или нет ?

Конечно могут, только пакеты PIM передаются мультикастом и пакеты PIM от абонентов (если такие приходят) вы должны видеть.

 

Для включения маршрутизации мультикаста в вилане необходимо разрешать на нем PIM (собственно процесс PIM и создает мультикаст-маршруты чтобы трафик лился куда надо), подписка при этом может быть по PIM либо IGMP. А чтобы абоненты не влияли на ваш PIM надо на вилане включать BSR-border и настраивать ACL запрещающий PIM соседства. Это касательно циски и обычных виланов с мультикастом, в вашем случае с MVR и не-циско настройки могут быть несколько иные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно, клиенты могут поафектить своим пимом или нет ?

Конечно могут, только пакеты PIM передаются мультикастом и пакеты PIM от абонентов (если такие приходят) вы должны видеть.

 

Для включения маршрутизации мультикаста в вилане необходимо разрешать на нем PIM (собственно процесс PIM и создает мультикаст-маршруты чтобы трафик лился куда надо), подписка при этом может быть по PIM либо IGMP. А чтобы абоненты не влияли на ваш PIM надо на вилане включать BSR-border и настраивать ACL запрещающий PIM соседства. Это касательно циски и обычных виланов с мультикастом, в вашем случае с MVR и не-циско настройки могут быть несколько иные.

 

На влане, который потом в других свичах является mvr теперь сделано так:

ip address X.X.12.1 255.255.255.0 secondary
ip address X.X.255.209 255.255.255.252
no ip redirects
no ip proxy-arp
ip pim neighbor-filter MC <-- пустой acl,ничего не разрешено.Просто он там был я новый не стал делать
ip pim bsr-border
ip pim sparse-mode
ip igmp snooping mrouter interface GigabitEthernet3/29 <-- там есть источники мультиков, они просто льют поток
ip igmp snooping mrouter interface GigabitEthernet3/31
ip igmp snooping mrouter interface GigabitEthernet4/9
ip igmp snooping mrouter interface GigabitEthernet4/10
ip igmp snooping mrouter interface GigabitEthernet4/27
ip igmp snooping mrouter interface Port-channel12
ip ospf database-filter all out

 

Ещё заметил, что sh ip pim interface для этого влана выводит звёздочку, хотя NbrCount там ноль. Про звёздочку ничего ненашёл, но скорее всего это то, откуда есть потоки, так ?

Address          Interface                Ver/   Nbr    Query  DR     DR
                                         Mode   Count  Intvl  Prior
...
X.X.255.209      Vlan13                   v2/S * 0      30     1      X.X.255.209
...

neighbor-filter ничего не изменил, по-прежнему есть Hello и Assert, пачками не вылетают, но они есть на этом влане. Ещё есть подозрения, что я не там ищу...

 

P.S. Скоре всего звёздочкой в sh ip pim interface обозначается bsr-border

 

P.P.S. Поставил кваггу с pimd на свой комп и отключил ip pim neighbor-filter MC, не завязались квагга со свичем :-). Т.е. квагга нейбора как бы видела, а свич кваггу не видел. Видимо, с mvr всё же клиенты не могут влиять на pim. Кваггу я ставил, чтобыв дебаге узнать причину ассертов, но не узнал ...

Изменено пользователем wtyd

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 ip pim neighbor-filter MC <-- пустой acl,ничего не разрешено.Просто он там был я новый не стал делать

Поведение пустых ACL может отличаться от места применения, если вешается как ACL на интерфейс то трафик не блокируется (то есть будто ACL не назначали). В случае с neighbor-filter может быть такая же история: пустой ACL не влияет на соседства.

С mvr не сталкивался, нормально ли описанное вами не скажу. И для диагностики проблем с мультикастом лучше включать дэбаг pim'а, сэкономите часы времени, настолько причины ошибок или непонятного поведения порой бывают неожиданны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 ip pim neighbor-filter MC <-- пустой acl,ничего не разрешено.Просто он там был я новый не стал делать

Поведение пустых ACL может отличаться от места применения, если вешается как ACL на интерфейс то трафик не блокируется (то есть будто ACL не назначали). В случае с neighbor-filter может быть такая же история: пустой ACL не влияет на соседства.

С mvr не сталкивался, нормально ли описанное вами не скажу. И для диагностики проблем с мультикастом лучше включать дэбаг pim'а, сэкономите часы времени, настолько причины ошибок или непонятного поведения порой бывают неожиданны.

 

На самом деле на других маршрутизаторах (там похожая конфигурация mvr влана) этот ACL содержит deny any. В "sh ip pim nei" никогда левых нейборов никогда не было, т.е. скорее всего этот расколбас делается своими же нейборами. acl я заполню, но чё-то пока кардинальных изменений вообще нет, только после перевода в читый sparse-mode пачки пакетов исчезли, но асерты всё равно есть и непонятно, чем они вызваны.

 

На счёт дебага: есть опасения потерять управление при включении любого дебага :-). Его же нельзя на 5 минут включить, чтобы он потом сам отключился. Ничего страшного не будет ? А то ответственная железка и идти до неё не близко.

 

Ещё такой вопрос: может ли этот расколбас быть из-за потерь в сети ? Я конечно на мониторинг всё уже поставил, потерь не задетектил, ошибок на интерфейсах нет, но может быть я что-то упустил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может из-за потерь, а может и не из-за потерь, не известно.

При включении дэбага PIM логгироваться будут только PIM пакеты, вряд ли их у вас сотни в секунду. Но если опасаетесь то можно сделать хитро, в текстовом редакторе набросать:

debug ip pim




undebug all

и скопипастить на циску. За время обработки пустых строк (а это миллисекунды) при большом трафике в лог обязательно попадут данные о пакетах, проверено на дэбагах ARP, STP, ICMP. Если трафика мало и за миллисекунды ничего не попадет в лог то можете в CLI включать дэбаг и через секунды выключать, и так постепенно увеличивать интервал дэбага.

И как вариант можно снять зеркало со свитча с проблемным виланом, привести на линукс и там ловить PIM, однако у этого методе есть недостаток - самому прийдется интерпретировать поведение PIM, а при дэбаге отчасти за вас это сделает циска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.