我在我管理的小型网络中遇到了一个大问题。这个网络是一个Apple网络,有airport extremes, expresses, mac book pro's, imac's, ipads, iphones etc...
我今天去给这个网络添加了一些东西,发现开关上的灯疯狂地闪烁着。注意到这一点后,我启动了 wireshark 并查看了我的防火墙日志文件。
我一遍又一遍地在日志文件中看到的行是
拒绝 10.0.3.100 224.0.0.251 mdns/udp 5353 5353 1-Trusted Firebox udp 泛洪 123 255(内部策略)proc_id="firewall" rc="101"
源 ip 更改 (10.0.3.100) 但消息保持不变。
我在弄清楚造成这种情况的原因时遇到了一个大问题。当我连接无线接入点时,我无法连接到网络上的任何内容。当我拔下它们时,网络正常并且不会因该流量而饱和。
任何人都有任何好的方法来诊断这个问题?我不确定这是刚刚开始还是一直如此,因为我现在才注意到它。
更新:我在运行 wireshark 时看到的消息如下:
25 0.006498000 10.0.3.3 224.0.0.251 MDNS 135 标准查询响应 0x0000 A,缓存刷新 10.0.3.3 A,缓存刷新 169.254.233.55
您网络上的多台计算机似乎正在使用多播 DNS。
您可能正在创建某种网络循环。例如,如果数据包从物理网络向上传输到一个 AP,它将转发到下一个 AP,然后再将其发送回物理网络。
您应该考虑检查您的交换/网络硬件配置,因为您似乎有一个交换环路。
什么是切换回路?检查这个: http ://www.omnisecu.com/cisco-certified-network-associate-ccna/what-is-layer-2-switching-loop.htm
如果它是一个交换机环路,您会看到的不仅仅是 MDNS 流量。使用交换机环路,所有帧都通过环路无休止地转发,网络将在很短的时间内变得几乎无法使用。如果您可以查看其中一台交换机的 CPU 使用率,它也会告诉您是否存在环路。如果存在循环,则 CPU 利用率将达到最大值(或非常接近),并且会一直保持这种状态,直到循环被移除或交换机重新通电(但如果循环仍然存在,CPU 将再次达到最大值)。您是否在 Wireshark 捕获中多次看到相同的帧?如果是这样,你有一个循环。如果不是,那么你就不会。您更有可能遇到的是由于配置错误或设备故障导致的交换机泛滥。找到帧的来源并将其与网络断开。活动是否恢复正常?Wireshark 捕获看起来正常吗?
在您的服务器上运行的服务(即 DNSCache DNS 客户端、CryptSvc、LANManWorkstation、NLASvc 网络位置感知和 WinRM)使用 UDP 5353 进行广播以编目/缓存网段上的服务器。Bonjour 是另一项可以使用 5353(多播 DNS)提供的服务。根据您的系统是否正在使用它们,您可能希望禁用 DNS 客户端和 LANManWorkstation 服务。