스위치에 루프가 있는 이유
여러 포트가 여러 디바이스 루프를 연결합니다. 한 포트 아래 회선 링
과 함께 일반적인 네트워크 루프 장애, 프로토콜 분석 툴인 스니퍼를 사용하여 이렇게 많은 패킷을 잡았지만 몇 가지 분석을 했지만 문제가 보이지 않았습니다. 분명히, 처음으로 많은 수의 SYN 가방을 보는 것은 우리에게 착각을 불러일으켰고, 당연히 SYN Flood 공격이라고 생각했다. 그 후, 우리는 이 네트워크 루프 문제 해결 과정을 검토하고, 잡은 패킷들을 다시 자세히 분석하고, 앞서 언급한 패킷들이 가지고 있는 5 개의 * * * 동특징에 대해 설명하여 앞으로 동류 문제가 발생할 경우 적시에 정확한 반응을 보일 수 있도록 했다.
먼저 상위 4 가지 특징을 살펴보겠습니다. 컨버전스 스위치는 네트워크 계층 디바이스입니다. 컨버전스 스위치는 해당 건물이 속한 VLAN 의 네트워크 계층 인터페이스가 이 컨버전스 스위치에 설정되어 네트워크 관리 정책을 구현하기 위해 등록되어 있거나 등록되지 않은 IP 주소에 MAC 주소를 바인딩했습니다. TCP 연결은 3 번의 핸드셰이크를 거쳐야 설정됩니다. 여기서 연결을 시작하는 SYN 패킷 길이는 28 바이트이고, 14 바이트의 이더넷 프레임 헤드와 20 바이트의 IP 헤더는 Sniffer 에 의해 캡처된 프레임 길이 * * * 는 62 바이트입니다 (4 바이트 오류 감지 FCS 도메인 제외). 공교롭게도 이 VLAN 에 액세스하는 유니캐스트 프레임은 엑스트라넷의 TCP 요청 패킷으로, 이더넷 브리지의 전달 메커니즘에 따라 CRC 정확성 테스트를 통과한 후 정적 ARP 구성으로 인해 이 컨버전스 스위치는 유니캐스트 프레임의 소스 MAC 주소를 네이티브 MAC 주소로 변환합니다. 대상 MAC 주소는 바인딩 매개 변수에 따라 교체되고 CRC 값을 다시 계산하고 FCS 도메인을 업데이트합니다.
마지막 기능: 브리지는 유사한 LAN 을 연결하는 스토리지 포워딩 디바이스입니다. 브리지는 모든 포트에서 전달된 모든 데이터 프레임을 수신하며 브리지 테이블을 해당 데이터 프레임의 전달 기준으로 사용합니다. 브리지 테이블은 해당 주소에 도달하는 데 사용되는 MAC 주소와 포트 번호의 "MAC 주소-포트 번호" 목록으로, 데이터 프레임의 소스 MAC 주소와 프레임을 수신하는 포트 번호로 새로 고쳐집니다. 브리지는 브리지가 한 포트에서 데이터 프레임을 수신할 때 브리지 테이블을 새로 고친 다음 브리지 테이블에서 해당 프레임의 대상 MAC 주소를 찾는 브리지 테이블을 사용합니다. 발견된 경우 이 MAC 주소에 해당하는 포트에서 프레임이 전달됩니다. 이 전달 포트가 수신 포트와 같으면 프레임이 삭제됩니다.
찾을 수 없는 경우 수신 포트 이외의 포트로 프레임이 전달되어 프레임이 브로드캐스트됩니다. 여기서는 브리지 A, B, C, D 가 전체 전달 과정에서 브리지 테이블에서 해당 데이터 프레임의 대상 MAC 주소를 찾을 수 없다고 가정합니다. 즉, 브리지는 어느 포트에서 프레임을 전달해야 할지 모릅니다. 브리지 A 가 업스트림 네트워크에서 유니캐스트 프레임을 업스트림 포트에서 수신하면 해당 프레임이 브로드캐스트되고 브리지 B, C 가 수신되면 해당 프레임도 브로드캐스트됩니다. 브리지 D 는 브리지 B, C 에서 각각 유니캐스트 프레임을 수신합니다. 브리지 C, B 를 통해 브리지 A 로 다시 전송되어 브리지 A 에 유니캐스트 프레임의 사본 두 개를 받습니다.
이러한 루프 전달 중에 브리지 a 는 더 이상 상련 포트가 포함되지 않은 다른 포트에서 동일한 프레임을 계속 수신합니다. 수신 포트가 변경되어 브리지 테이블도' 소스 MAC--포트 번호' 목록 내용을 변경하고 있습니다. 앞서 브리지의 브리지 테이블에 해당 프레임의 대상 MAC 주소가 없다고 가정했습니다. 브리지 A 는 두 유니캐스트 프레임을 각각 수신한 후 수신 포트 이외의 포트에만 프레임을 다시 브로드캐스트할 수 있으므로 해당 프레임도 포트 위로 전달됩니다.
각 유니캐스트 프레임에 대해 브리지 A 는 앞서 언급한 프로세스를 반복합니다. 이론적으로 방송은 한 번에 21 개 프레임, 방송은 두 번 22 개 프레임, ..., N 번 방송은 2n 개 프레임을 받습니다. 결론적으로 브리지 A 가 이렇게 전달되면 곧 브로드캐스트 폭풍이 발생하여 유니캐스트 프레임의 복사본이 결국 100BASE-X 포트 대역폭을 소모하게 됩니다.
이 기간 동안 연결 포트에는 서로 충돌하여 불완전하게 변하는 데이터 프레임이 많이 있을 수 있지만 스니퍼는 이를 캡처할 수 없지만 유니캐스트 프레임의 반복 횟수가 여전히 매우 많을 것으로 예상할 수 있습니다. (윌리엄 셰익스피어, 유니캐스트, 유니캐스트, 유니캐스트, 유니캐스트, 유니캐스트, 유니캐스트, 유니캐스트, 유니캐스트) 우리는 잡은 패킷을 다시 한 번 검사했는데, 당시 눈치채지 못한 중복 표지가 거의 발견됐다. 이더넷 스위치의 100BASE-FX 포트 포워딩 회선 속도는 64 바이트 패킷 길이로 계산하면 최대 144000pps 까지 가능합니다. 이러한 네트워크 루프 상태에서는 스니퍼가 초당 10 만 개 이상의 패킷 길이가 66 바이트인 패킷을 잡을 가능성이 높습니다.
위와 같은 이유로, 당시 4 개 스위치의 브리지 테이블에 해당 패킷의 목적 MAC 주소가 없었기 때문에 업스트림 네트워크에 있는 이 컨버전스 스위치가 해당 건물에 TCP 요청 패킷을 보낸 후 건물 액세스 스위치가 전달한 TCP 패킷 사본을 계속 받을 수 있었습니다 인터넷 네트워크 애플리케이션은 요청/응답 모드를 기반으로 하며 전송/수신 두 채널이 모두 원활해야 완벽한 통신이 가능합니다.
이 네트워크 애플리케이션의 채널 중 하나가 차단되면 애플리케이션이 진행되지 않아 종료됩니다. 네트워크 애플리케이션이 끝난 후 일반적으로 요청 당사자는 이 애플리케이션에 대해 요청 패키지를 다시 자동으로 보내지 않습니다. 따라서 네트워크 루프 상태에서 일반적으로 한 채널에는 큰 트래픽이 있고 다른 채널에는 트래픽이 거의 없는 현상이 있습니다. VLAN 에는 브로드캐스트 도메인을 격리하는 기능이 있어 이러한 트래픽이 네트워크 계층을 통과하지 않으므로 컨버전스 스위치에 큰 부담을 주지 않습니다.
실제로 이러한 네트워크 루프는 데이터 링크 계층의 장애이기 때문에 소스 MAC 주소와 대상 MAC 주소만 관련되므로 상위 레벨에서 캡슐화된 패킷 유형에 관계없이 브로드캐스트 스톰 (broadcast storm) 이 발생할 수 있습니다. 즉, 당시 스니퍼로 다양한 패킷을 잡을 수 있었다.
장애 예방
캠퍼스 네트워크의 액세스 계층은 사용자 지향 네트워크 인터페이스로, 통제할 수 없는 많은 구성 요소가 있으며, 상황이 복잡하며, 전문가가 관리해야 하며, 장비에 신뢰성을 보장해야 합니다. 이 포옹 액세스 스위치는 관리 가능하며 STP 기능이 있으며 다른 스위치는 비관리형 스위치이며 STP 기능이 없습니다. 원래 이 액세스 스위치에 STP 기능을 미리 구성했는데, 이 사이버 사고는 완전히 피할 수 있었지만, 어찌 된 일인지 이렇게 하지 않으면 나중에 할 수 있는 것은' 소 잃고 외양간 고치는 것' 이 될 수밖에 없었다.
따라서 액세스 스위치가 STP 기능을 켜도 다운스트림 네트워크는 어떤 이유로 루프를 형성하고 브로드캐스트 스톰 (Broadcast Storm) 을 발생시켜 업스트림 네트워크의 VLAN 에 영향을 미치므로 액세스 스위치에는 영향을 로컬 범위로 제한할 수 있는 브로드캐스트 패킷 억제 기능도 있어야 합니다. 다운스트림 네트워크의 스위치에 대해서도 이러한 요구 사항이 있지만 비용 문제일 뿐입니다. 즉, 네트워크 문제 해결 시 기술과 경험도 중요하지만, 평소 네트워크의 규범 연결을 유지하고 기본적인 예방 조치를 실시하는 것이 더 중요하다.