Skip to main content

Beste KPN,

Wij hebben bij een klant van ons wat WiFi puntjes hangen van UniFi,
Recent klaagde de klant over wat problemen en we zijn al enige tijd bezig met het uitzoeken hoe en wat.

Bij Recente zoek acties stuitte we op wat vreemde, ons inziens onverklaarbare netwerk gebeurtenissen.

 

Op bepaalde delen in de dag lijkt het erop alsof er een broadcast storm plaats vindt,
we kunnen dit nog niet gelijk trekken met Apparaten of Personen,
Maar het is zo dat er (op moment van schrijven ook) continue 1, 2 of 3 broadcasts actief zijn.

We hebben het dan over een broadcast die afkomstig lijkt van een IP (217.166.226.126) en gericht op
het broadcast IP 224.0.252.126 op poort 7252 UDP. 

Deze pakketten gaan ongeveer met 2000 stuks per seconde over het netwerk heen. 
Iemand enig idee wat dit kan zijn? 

 

Technische informatie:
Glasbox: GMC-TK01-P2110
Modem: KPN Box 12b
Switch: UniFi Switch Lite - 16 poort, 45W PoE
AP: UniFi AP AC Pro

AP CPU load Idle: ~6%
AP CPU load 1 broadcast: ~13%
AP CPU load 2 broadcasts: ~20%

Het leek erop (dump niet bewaard), dat tijdens een 2 of 3 broadcast storm, alle broadcast van verschillende IP adressen afkomstig zijn, uit mijn hoofd de .126, .136 en .137.

Het vreemde (vindt ik) is dat we een Extern IP adres zien dat een Broadcast doet op het Interne netwerk. Waarbij het externe IP afkomstig lijkt vanaf KPN en dus wordt door gegeven door het KPN Modem (zie tcpdump + arp)

TCP Dump vanaf een AP tijdens zo een broadcast:

ap02-BZ.6.6.77# tcpdump -i eth0 -nne 
10:01:54.856124 cc:58:30:d3:b9:10 > 01:00:5e:00:fc:7e, ethertype IPv4 (0x0800), length 1370: (tos 0x0, ttl 61, id 5332, offset 0, flags  DF], proto UDP (17), length 1356)
    217.166.226.126.49152 > 224.0.252.126.7252: 1udp sum ok] UDP, length 1328
10:01:54.857643 cc:58:30:d3:b9:10 > 01:00:5e:00:fc:7e, ethertype IPv4 (0x0800), length 1370: (tos 0x0, ttl 61, id 5690, offset 0, flags  DF], proto UDP (17), length 1356)
    217.166.226.126.49152 > 224.0.252.126.7252: 1udp sum ok] UDP, length 1328
10:01:54.859143 cc:58:30:d3:b9:10 > 01:00:5e:00:fc:7e, ethertype IPv4 (0x0800), length 1370: (tos 0x0, ttl 61, id 6053, offset 0, flags  DF], proto UDP (17), length 1356)
    217.166.226.126.49152 > 224.0.252.126.7252: 1udp sum ok] UDP, length 1328
10:01:54.860679 cc:58:30:d3:b9:10 > 01:00:5e:00:fc:7e, ethertype IPv4 (0x0800), length 1370: (tos 0x0, ttl 61, id 6425, offset 0, flags  DF], proto UDP (17), length 1356)
    217.166.226.126.49152 > 224.0.252.126.7252: 1udp sum ok] UDP, length 1328
10:01:54.862079 cc:58:30:d3:b9:10 > 01:00:5e:00:fc:7e, ethertype IPv4 (0x0800), length 1370: (tos 0x0, ttl 61, id 6792, offset 0, flags  DF], proto UDP (17), length 1356)
    217.166.226.126.49152 > 224.0.252.126.7252: 1udp sum ok] UDP, length 1328
10:01:54.863700 cc:58:30:d3:b9:10 > 01:00:5e:00:fc:7e, ethertype IPv4 (0x0800), length 1370: (tos 0x0, ttl 61, id 7148, offset 0, flags  DF], proto UDP (17), length 1356)
    217.166.226.126.49152 > 224.0.252.126.7252: 1udp sum ok] UDP, length 1328

 Arp tabel, zichtbaar afkomstige MAC adres uit TCP Dump.

ap02-BZ.6.6.77# arp -a
...
mijnmodem.kpn (192.168.2.254) at cc:58:30:d3:b9:10 0ether]  on br0
...

 Weekend overzicht van AP stats, Hoge Dropped rate tijdens broadcast, zichtbaar ook tussen 0, 1 of 2.
Traffic is nu normaal na IGMP optimalisatie, deze deed daarvoor ook dik 2GB per storm omzetten.

 

Lijkt op verkeer door de TV decoders. bron (zelfde ipnummers/ andere isp).

De DIW7022 kan draadloos werken met de KPN BOX12.
Voor unicast naar multicast via wifi is het nodig dat de UniFi AP AC Pro multicast to unicast (mc-2-uc) ondersteunt. bron
Het is ook nodig dat elke schakel (Swith, AP, enz) tussen de KPN TV ontvanger igmp snooping heeft ingeschakeld.
Als dit niet zo is kan er in de DIW7022 ingesteld worden om unicast i.p.v. multicast te gebruiken. Dit geeft wel een lagere beeldkwaliteit.

Lijkt op verkeer door de TV decoders. bron (zelfde ipnummers/ andere isp).
De DIW7022 kan draadloos werken met de KPN BOX12.
Voor unicast naar multicast via wifi is het nodig dat de UniFi AP AC Pro multicast to unicast (mc-2-uc) ondersteunt.bron
Als dit niet zo is kan er in de DIW7022 ingesteld worden om  unicast i.p.v. multicast te gebruiken. Dit geeft wel een lagere beeldkwaliteit.

Dit verklaard wel een groot deel. 
Kan met een 10sec google search nog niet snel wat vinden over mc-2uc en unifi;
jammer dat dit blijkbaar wel zo veel effect heeft op de CPU van een AP.

Het is namelijk te zien op alle AP's en ze hebben er dus ook allemaal tegelijk 'last’ van. 

MC-2UC is een principe dat fabrikanten van routers vaak op driver niveau vanuit de onderliggende chipset kunnen aanspreken en e.e.a. is dus waarschijnlijk afhankelijk van de desbetreffende chipbouwer hoe dit in de praktijk wordt toegepast.

KPN stuurt vanuit een separaat tv vlan het live tv verkeer via multicast streams door. Als je dit zonder maatregelen 1 op 1 over een apparaat stuurt met een wifi interface erin dan legt dit zo,n beetje de hele boel plat. Zowel op het niveau van de CPU van de AP maar ook het wifi transmissie pad zelf raakt de boel geheel verstopt.

Door een multicast stream voor wifi transmissie te converteren naar een unicast stream(lees de wifi settop box als eindpunt) kan de wifi interface het doelstation direct adresseren.  Dit is dan ook een taak voor de router of AP die de houder is van de wifi verbinding richting tv box.

Reageer


De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank

...

Community voorwaarden