cisco's nieuwe eigenaar mischien ??

eeuh wat dacht je van het netwerkverkeer te gaan snifferen ?

Broadcasts?

Het lijkt dus wel een ouderwetse HUB. Misschien is er aan de instelling gesleuteld. Komt data op alle poorten weer naar buiten?

Als ze allemaal tegelijk knipperen is het waarschijnlijk broadcast of multicast verkeer.

Toevallig STP aangezet op je switches?

start je servers en computers op en ga metteen naar bios en blijf daar, zodat je uitsluit dat er software is die signalen verstuurt. Wat gebeurt er dan?

je kunt ook nog proberen door een netwerkkabel van de ene poort in de andere poort te steken.

En over welke leds heb je het. De leds op de router, of de leds die op de poort zitten?

Mischien een zeer domme vraag, maar heb je UPnP ook aanstaan? Die gebruikt bij mij soms ook bergen multicast.

Trixinet

Heb je in WireShark met de netwerkinterface in promiscuous mode gekeken?

Elk pakketje dat binnenkomt op een netwerkinterface laat het LEDje oplichten, maar standaard wordt niet elk pakketje door de netwerkkaart aan de driver en besturingssysteem doorgegeven! Promiscuous mode zorgt dat wel elk ontvangen pakketje door de netwerkkaart aan de software (inclusief Wireshark) wordt doorgegeven.

Zie bijv. http://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureOptions.html of zoek naar: wireshark promiscuous mode

cdp ergens ?

De OP heeft het over een switch. Onder normale omstandigheden zal bijna alle verkeer wat op zijn netwerk interface zichtbaar is, ook voor hem bestemd zijn en aan het OS aangeboden worden. Hetzij unicast verkeer, hetzij broadcast/multicast verkeer.

Alleen als hij achter een SPAN (sniffer) switch poort zit, of als de switch een destination mac nog niet geleerd heeft (flooding van unknown unicast verkeer) , of de cam table overloopt,zal op een switchpoort ook verkeer te zien zijn wat de netwerk kaart hoort te negeren tenzij die in promiscuous mode staat.

De alle ledjes van servers parallel knipperen is bijna zeker broadcast/multicast verkeer, bijvoorbeeld een management agent, of een dropbox client, windows fileservers etc.

Heb je misschien Windows servers draaien waarbij de interfaces in "network load balancing" draaien?

Dan is dit misschien je probleem...

https://supportforums.cisco.com/thread/154902
http://support.microsoft.com/default.aspx?scid=kb;en-us;193602

En zo lang de gebruikers niet klagen heb je dus geen probleem ;)

Uh misschien ergens een LOOP in de kabels... (Spanning Tree probleempje).
Maar dan zouden gebruikers toch problemen moeten ondervinden.

Dit kan dus een symptoom zijn van die problemen. Het loont juist de moeite om de netwerkkaart wel in promisuous mode te zetten. Als je dan met Wireshark verkeer ziet dat niet voor die netwerkkaart bestemd is dan weet je dat die switch zich anders gedraagt dan de bedoeling is.

Los daarvan: het tijdstip waarop het begon op te treden kan ook een belangrijk hulpmiddel zijn om de vinger op de zere plek te leggen. Als het kort na een bepaalde wijziging in je configuratie of geïnstalleerde software (inclusief automatische updates en dergelijke) voor het eerst is opgemerkt dan is die wijziging verdacht. En wees ook voorzichtig met het al te makkelijk terzijde schuiven van mogelijke oorzaken. Ik heb in allerlei situaties meegemaakt dat bij lastige problemen juist een kleinigheid waarvan je denkt: dat kan er onmogelijk iets mee te maken hebben, toch de oorzaak is. De manier waarop is dan meestal iets waar je zelf niet makkelijk op was gekomen.

Algemene vragen bij problemen oplossen: wat (welk ding, welke gaat er mis), waar (welke geografische locatie, welk object), wanneer (sinds wanneer treedt het op, op welke tijd van de dag/week/maand/jaar). Maar de vragen wat niet, waar niet en wanneer niet zijn even belangrijk, je verklaring moet namelijk ook verklaren waarom het in sommige situaties niet optreedt. Als je dit hebt geïnventariseerd kan je van alle mogelijke oorzaken die je bedenkt (en die hier gesuggereerd zijn) er heel snel een aantal wegstrepen die niet verklaren waarom het bijvoorbeeld alleen tijdens kantooruren optreedt, of alleen bij machines die een bepaald besturingssysteem draaien, of pas een week na die verdachte upgrade.

Wellicht handig om eens te kijken naar de IPv6 route advertisements. Met producten als Windows7, W2008, Apple etc. krijg je gratis IPv6 op je netwerk. Door een default VLAN configuratie kan dit verkeer zelfs op een IPv4 netwerk verspreiden.

Druk (of draai) eens op het instellingenknopje.
Stand 1 alles knippert, stand 2 alleen knipper bij verkeer, stand 3 etc etc

Je weet niet wat hier aan de hand is. Kijk dus met alle middelen die je hebt!

Trouwens, als ik Wireshark niet in prmiscuous mode opstart (Dell notebook, Broadcom NIC, XPSP3) zie ik geen multicast verkeer (STP, IGMP etc).

Andere (niet gangbare) reden: als een aanvaller alle switches in het netwerk ervan wil overtuigen dat zijn (waarschijnlijk gespoofde) MAC adres X aan een specifieke switch hangt, kan hij dat stilletjes doen door regelmatig ethernetpakketjes naar een niet bestaand MAC adres Y te sturen. Omdat geen enkele switch weet waar Y zit zullen ze dit pakketje "flooden" (ondertussen leren ze allemaal wel de route terug naar X). Gevolg: knipperende LEDjes maar omdat het om unicast verkeer gaat zal niemand het "oppakken". Dit soort pakketjes zie je alleen in promiscuous mode.

Zo'n situatie kan ook per ongeluk onstaan bij een static ARP entry en een bijbehorende NIC die is vervangen (of een computer die uitstaat). Denk bijv. aan een oude unix bak met een static ARP entry voor een ondertussen afgevoerde syslog server.

Hoe ouder een netwerk, hoe meer WTF's je ziet...

Inderdaad eerst goed analyseren. Het liefst met een Linux-machine. Deze staat meestal standaard in monitor-mode (alles tonen wat langskomt). Wireshark is inderdaad een prima programma. Eventueel een poort van de router gebruiken om alle gegevens naar deze monitor-machine te sturen (SPAN poort/ mirror poort/ monitor poort).

http://www.youtube.com/watch?v=LvOkGLEG1Nw

gewoon spanning tree aan zetten

(ben dezelfde anoniem). Natuurlijk, het is een kleine moeite.
Zoals de vraag van de OP lees verwacht ik weinig meer dan management agents of ander regelmatig broadcast verkeer.
Het moet een behoorlijk rustig netwerkje zijn als je een "Hé, de ledjes knipperen telkens tegelijk" patroon ziet.
Een spanning tree loop geeft een kerstboom, geen geknipper.


Multicast is ook op ethernet niveau (mac) multicast. Je zult wel multicast verkeer zien voor groepen waar je zelf aan gejoined zit, maar ander multicast verkeer inderdaad niet.
Daarin is IPv6 (router announcement/discovery, neighbour discovery etc.) net even slimmer en efficienter dan IPv4 (arp is broadcast).
Als je switch voldoende slim is, zul je ander (ip) multicast verkeer ook niet zien op je switchpoort; De switch doet IGMP snooping en stuurt multicast verkeer dan alleen naar poorten waarvoor een passende IGMP join gezien is.

Als je 200 Mbit multicast verkeer (handjevol video kanalen) hebt gaan over een paar devices met GigE poorten is het niet zo fijn om dat op 100M poorten ook nog uit te sturen, wat een switch zonder IGMP snooping wel zou moeten doen.

STP (en CDP,LLDP e.a.) zul je zonder promiscuous mode inderdaad niet zien omdat je OS niet joined aan een (IP) multicast groep die mapped naar hun ethernet multicast mac adres.


De meer gebruikelijke reden is een voldoende stille host, inderdaad een (read only) syslog server in combinatie met lange arp timeouts en korte cam table timeouts.
(4 uur / 5 minuten zijn bekende defaults). Het hoeft niet eens een afgevoerde syslog hosts te zijn dan,
als het om een nogal centrale log server gaat kan dat behoorlijke flooding volumes geven. Eventueel zelfs verlies van log packets als de switch een rate limit op unknown unicast floods ingesteld heeft.
Een feed van puur één weg verkeer (video stroom van een bewakings camera ofzo) zonder retour verkeer kan ook dat effect hebben.

En tenslotte is het een risico in een topologie met twee (L3) switches waarbij een verschillende switch HSRP master is voor heen- en retour verkeer.

Maar anyway, eens kijken met een sniffer en een beeld hebben van wat "normaal" is, en snappen waarom je bepaald verkeer ziet (of niet) is bijzonder nuttig.


mww. competentie van beheerders speelt nogal mee.

Kan je misschien eerst eens laten weten wat voor switch je hebt en hoeveel?
Als je één standaard switch hebt met daaraan een verbinding naar het Internet en een paar poortjes naar een pc of server is de kans ongeveer 0% dat een een spanning tree probleem hebt doodeenvoudig omdat die dingen geen spanningtree doen!

100% zeker dar een apparaat ineens veel broadcastverkeer stuurt. Dat wordt doorgestuurd naar alle poortjes en daarom knipperen alle lampjes.

Trek een voor een de kabeltjes uit de switch en wacht tot het over is. Dan weet je welke pc de oorzaak is. Daarna die pc onderzoeken. Dat kan met wireshark, maar ook gewoon door te bekijken welke programma's er allemaal draaien.