MLD-Snooping überlastet CPU

[DirkK]

Hallo,

nachdem in der neuesten Firmware (4.30.0147RU4) das Überlauf-Problem der MLD Snooping Group Tabelle gelöst wurde, laufe ich scheinbar in ein weiteres Problem bzgl. MLD Snooping.

Kurz nochmal der Aufbau: ein GS-3652XP als zentraler Switch und daran angeschlossen drei GS-3510XP als Etagenswitches.

Nach wie vor kommen regelmäßig folgende Fehlermeldungen im Syslog:
IPMC-INFO: Date&Time:2025-04-14T20:32:00+02:00; Severity:Warning; Version:MLD; VID:1; Interface:10GigabitEthernet 1/2; Message: (IPMC_ERROR_PKT_ADDRESS)->RX frame with bad address!

Diese Meldung zieht sich durch alle vier Switches zur selben Zeit durch. D.h. Auf jedem Switch ist ein korrespondierender Eintrag zur angegebenen Zeit zu finden, wobei als Interface der jeweilige Switch-Nachbar angegeben ist. Somit ist zumindest nachvollziehbar, auf welchem Switch der Ursprung dieser Meldung lag. Viel weiter kann ich das so nicht nachvollziehen, da der Ursprungsport immer ein WLAN-Accesspoint ist, auf dem diesbezüglich natürlich keine Infos gemeldet werden. Die Frage ist also, wie kann ich das „frame with bad address“ identifizieren?

Diese Syslog-Meldungen sind in erster Linie nur „unschön“ und erzeugen jede Menge Log-Einträge. Seit kurzem habe ich aber euch einen klar negativen Impact auf das Netzwerk festgestellt, welche ich hierauf zurückführe. Alle drei GS-3510XP Etagenswitche hatten seit ein paar Tagen eine durchgehende 100% CPU-Last. Ein Reboot hat nichts geholfen. Erst als ich das MLD-Snooping auf allen vier Switches ausgeschaltet habe und damit auch die MLD Snooping Group Tabellen netzwerkweit gelöscht wurden, waren die CPU-Werte wieder auf Normalniveau. Nach dem Einschalten des MLD-Snoopings wächst die Tabelle natürlich wieder kontinuierlich, das geht so lange, bis sie wieder im mittleren dreistelligen Bereich ist, nach 3-4 Wochen und dann sind die CPUs aller drei GS-3510XP wieder am Anschlag 100%.

Das MLD-Snooping gänzlich abzuschalten möchte ich eigentlich nicht, denn eine Auswertung auf dem zentralen Switch zeigt ungefähr 25% Multicast -Traffic, und das möchte ich nicht unbedingt an alle Ports fluten.

Bis vor einem Jahr hatte ich noch GS-2326-plus und drei GS-2310 im Einsatz, die dieses Problem nicht gezeigt haben, insofern gehe ich eigentlich davon aus, dass es ein Firmware-Bug sein könnte.

Hat jemand ähnliche Erfahrungen/Probleme bemerkt oder eine eine Idee, woran das sonst liegen könnte?

VG Dirk

[GrandDixence]

Vielleicht wäre es hier angebracht, zuerst mit Wireshark und "Port Mirroring" herauszufinden, woher dieser Multicast-Datenverkehr überhaupt stammt. Mit was für Multicast-Datenverkehr sind diese Switches zu 25% ausgelastet? Wenn ein 10 GBit/s-Ethernet mit 25% Multicast-Datenverkehr ausgelastet wird, was rund 2 GBit/s ausmacht, dann läuft doch da etwas gründlich schief?!

Dann wären wohl einige Firewallregeln angebracht, welche den unerwünschten Multicast-Datenverkehr blockiert und nur noch den erwünschten Multicast-Datenverkehr durchlässt.

Und wahrscheinlich wäre auch eine Netzwerksegmentierung mit VLAN angebracht, damit dieser Multicast-Datenverkehr nur in (kleinen und überschaubaren) Netzwerksegmenten auftritt und nicht an allen Ports.
fragen-zum-thema-firewall-f15/schulnetz ... ml#p106924

[DirkK]

Mit was für Multicast-Datenverkehr sind diese Switches zu 25% ausgelastet?

Das ist vermutlich hauptsächlich AirPlay und HomeKit Datenverkehr.

Wenn ein 10 GBit/s-Ethernet mit 25% Multicast-Datenverkehr ausgelastet wird, was rund 2 GBit/s ausmacht, dann läuft doch da etwas gründlich schief?!

Ich habe nicht geschrieben, dass Multicast hier 2 GBit/s ausmacht. Die Zahl der Multicast-Pakete im Verhältnis zur Gesamtzahl aller Pakete beträgt ca. 25%

Dann wären wohl einige Firewallregeln angebracht, welche den unerwünschten Multicast-Datenverkehr blockiert und nur noch den erwünschten Multicast-Datenverkehr durchlässt.

Zwischen den Switches ist doch keine Firewall!

Und wahrscheinlich wäre auch eine Netzwerksegmentierung mit VLAN angebracht, damit dieser Multicast-Datenverkehr nur in (kleinen und überschaubaren) Netzwerksegmenten auftritt und nicht an allen Ports.

Netzwerksegmentierung per VLANs ist da meines Erachtens nicht wirklich möglich, weil die Geräte zu viele any-to-any Verbindungen haben/benötigen, die dann alle über eine Firewall gehen müssten und dazu ist der Router zu schwach, bzw. nicht geeignet.

Und genau deswegen setze ich eben MLD-Snooping ein, damit der Multicast-Datenverkehr eben nur die Switches und Ports erreicht, die da benötigen.

[tstimper]

Und genau deswegen setze ich eben MLD-Snooping ein, damit der Multicast-Datenverkehr eben nur die Switches und Ports erreicht, die da benötigen.

Hi Dirk,

MLD-Snooping muss gehen und der Switch muss das auch schaffen können.
Du hast ja Switche neuerer Generation, die Probleme machen. Bei den älteren funktionierte das ja.

Viele Grüße

ts

[DirkK]

Hi Thomas,

MLD-Snooping muss gehen und der Switch muss das auch schaffen können.
Du hast ja Switche neuerer Generation, die Probleme machen. Bei den älteren funktionierte das ja.

das ist eben exakt auch meine Erwartung. Es ist ja nicht so, dass ich hier mehrere tausend Geräte habe, was die Netzwerkkomponenten auch noch bedienen können sollten. Es sind etwas weniger als 200 Devices, die mit den neuen Switches einfach zukunftssicher vernetzt werden sollten. Und die Response-Time hat sich teilweise auch verbessert. Nach einiger Zeit läuft einfach nur "etwas voll" und das war bei den alten Switches eben nicht so.

Seit gestern habe ich mal auf allen Switch Ports das MLD Port Throttling auf 10 begrenzt, in der Hoffnung, dass die MLD-Snooping-Group Tabelle nicht so exorbitant anwächst. Aktuell habe ich noch keine negativen Impact hierdurch feststellen können, scheint im Moment alles normal zu funktionieren.
Sollte vielleicht ein Workaround sein, aber natürlich nicht die Lösung

VG Dirk