Fritzboxen zeigen das Verhalten, im Abstand von 2 Sekunden Ethernet-Frames zweier Typen zu broadcasten.
Dieses Verhalten kann leider nicht abgeschalten werden.
Die beiden Ether-Typen sind laut IEEE:
- 0x88e1 -> HomePlug Specification AV MME
- 0x8912 -> Ethertype used for mediaxtream Specification protocols
Beide Typen gehören zu Produkten die Daten über das Stromnetz übertragen (DLAN/Powerline). Vermutlich setzen AVMs „Fritz!Powerline“-Produkte auf diese Technologien. Wer diese Produkte nicht nutzt, kann mit den 86.400-Frames pro Tag nichts anfangen. Schlimmer noch, sie belasten das Netz unnötig, da sie sich als L2-Broadcasts verbreiten und jedes angeschlossene Gerät die Frames auswerten und verwerfen muss.
Wer die genannten Powerline-Produkte nicht nutzt, kann mit ein paar Bridge-Filtern auf einem Mikrotik-Gerät (oder jedem anderen Switch der ACLs unterstützt) der Datenflut Herr werden.
Die Regeln für Mikrotik lauten für 0x88e1 und 0x8912 je Forward und Input-Chain (an eth4 ist die Fritzbox angeschlossen):
/interface bridge filter add action=drop chain=input comment="Drop mediaxtream Specification Protocol" \ in-interface=ether4 mac-protocol=vlan vlan-encap=0x8912 add action=drop chain=forward comment=\ "Drop mediaxtream Specification Protocol" in-interface=ether4 \ mac-protocol=0x8912 add action=drop chain=input comment="Drop HomePlug AV Protocol" in-interface=\ ether4 mac-protocol=vlan vlan-encap=homeplug-av add action=drop chain=forward comment="Drop HomePlug AV Protocol" \ in-interface=ether4 mac-protocol=homeplug-av
WICHITG: Die entsprechenden Egress-Ports dürfen NICHT Hardware-Offloaded sein (Bridge-Filter-Regeln wirken immer auf den Egress-Port)!
Die „chain=forward“-Regeln wirken auf das Forwarding ins LAN, sinnigerweise legt man auch Regeln für den Switch selbst an (chain=input). Sollten die Egress-Ports (das in der Regel definierte Ingress-Frame) tagged – also IEEE 802.1q gekapselt – forwarden, muss als „mac-protocol=vlan“ gewählt werden und unter „vlan-encap“ der Ether-Type eingetragen werden. Wird das Frame ohne Tag egress geforwardet, reicht es den Ether-Type unter „mac-protocol=“ einzutragen.
Innerhalb weniger Stunden kommt schon einiges zusammen:
Sollten Powerline-Produkte später genutzt werden, müssen die Regeln disabelt werden.
Referenzen:
System- und Netzwerkadministrator
Informationstechnik – Netzwerktechnik – Consulting
MCSA+M | MCSE | MTCNA