Cisco 4948 Multicast flood

[Tormato 0]

Есть свитч cisco 4948 обновленный до последних версий:

catos#show version 
Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-ENTSERVICESK9-M), Version 15.0(2)SG11, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2016 by Cisco Systems, Inc.
Compiled Mon 24-Oct-16 09:48 by prod_rel_team
Image text-base: 0x10000000, data-base: 0x123AECA8

ROM: 12.2(31r)SGA7
Pod Revision 0, Force Revision 31, Gill Revision 20

Catalyst-2 uptime is 5 hours, 42 minutes
System returned to ROM by reload
System image file is "bootflash:cat4500-entservicesk9-mz.150-2.SG11.bin"

Периодически, порядка 50мбит в течении примерно 4 минут, флудит мультикастом по всем портам которые входят в VLAN114. snooping включен:

show ip igmp snooping vlan 114 detail 
Global IGMP Snooping configuration:
-------------------------------------------
IGMP snooping                : Enabled
IGMPv3 snooping              : Enabled
Report suppression           : Enabled
TCN solicit query            : Disabled
TCN flood query count        : 2
Last Member Query Interval   : 1000

Vlan 114:
--------
IGMP snooping                       : Enabled
CAPWAP enabled                      : Disabled
IGMPv2 immediate leave              : Disabled
Explicit host tracking              : Enabled
Multicast router learning mode      : pim-dvmrp
CGMP interoperability mode          : IGMP_ONLY
Last Member Query Interval          : 1000Topology change                     : No

Устройство куда льется мультикаст - простой микротик подключенный для теста который вовсе не является потребителем мультикаст трафика.

Відредаговано 2019-02-01 18:11:41 Tormato

[khatgit 22]

Мало как-то данных.

L3 интерфейс в vlan 114 на коммутаторе есть?

Что за мультикаст смотрели?

[Tormato 0]

L3 интерфейст отсутвует. Но он же и не нужен.

Если отключить igmp то трафик постоянно занимает почти пол полосы, т.е. видно что мультикаст не фильтруется.

А так идут всплески по 50 мбит.

Причем такая ситауация на всех портах с вланом 114.

P.S. Появилась и дея вообще прибить весь мультикаст в тестовых целях на порту. Попробую проверить может что то флудит все таки броадкастом (хотя я проверял но нужно себя перепроверить снова)

[Туйон 1 272]

Ищите сошедший с ума роутер.

Было похожее.

Особо флудили новенькие Тплинк с "голубым" интерфейсом. 

Помогает отключение IGMP в них.

[khatgit 22]

Если мультикаст не является полезным и на доступе оборудование управляемое - то лучше штром-контролы настроить/включить, чем искать кто флудит.

А за мультикаст я не просто так спрашивал - если это группа из диапазона 224.0.0.0/24 - то она igmp-спупингом не должна обрабатываться.

[Tormato 0]

Ну да, will known адреса конечно не забанить просто так и это конечно хорошо как по мне.

Просто у меня есть свитч не 4948. Если подключить к нему этот же девайс то этих всплесков по 50мбит нет. А вот всплески трафика на двух cisco абсолютно идентичны. Если смотреть по графикам то создается впечатление что они  склонированны, с той лишь разницей что на 1-м полезного трафика примерно 30мбит, а на двух других порт простаивает и также есть эти всплески и ситуация идеентична на двух 4948 свитчах.

[nedoinet 440]

В 02.02.2019 в 11:46, Туйон сказал:

Ищите сошедший с ума роутер.

Было похожее.

Особо флудили новенькие Тплинк с "голубым" интерфейсом. 

Помогает отключение IGMP в них.

Вот конкретно по туполинкам - эта зараза на базе мт7628 имеет на борту однопортовый физический коммутатор. Wan и lan порты разделяются програмно внутреннимм вланами. И судя по всему из-за косяка в паршифке у него иногда сносит крышу, особенно если на порту вашего коммутатора включен контроль потока(как это печально для тупых свичей на рилтеках где контроль включен в еепром думаю многие знают).

Но это вряд ли по теме

[Unisfera 0]

В 02.02.2019 в 12:46, Туйон сказал:

Ищите сошедший с ума роутер.

Было похожее.

Особо флудили новенькие Тплинк с "голубым" интерфейсом. 

Помогает отключение IGMP в них.

Знакомая ситуация)