[Switch] MSTP

2021년 2월 25일 musketo 댓글 남기기

Multiple Spanning Tree Protocol

그동안 학습한 STP와 RSTP는 VLAN 하나 당 1개의 스패닝 트리가 동작한다. VLAN이 200개라면, 200개의 스패닝 트리가 돌아간다는 의미이자 2초마다 200개의 BPDU를 수신한다는 의미이다.
왠지 Switch에 부담이 가지 않을까 싶다..

다행히 이런 문제점을 해결하기 위해 나온 프로토콜이 있으니,,
이름하여 MSTP다. 여러 개의 VLAN을 묶어 하나의 스패팅 트리만 동작되도록 하는 것이다.
VLAN 묶는다면 묶인 VLAN을 셀 때 필요한 단위가 있을거고, 여러 개의 Switch 중 하나는 대표 역할을 해야할 것이다. 그래야 관리하기 쉬울 테니 말이다.

MSTP 단위
CIST와 MSTI
MSTP 동작과정
MSTP의 BPDU
MSTP 설정

1. MSTP 단위

VLAN 여러 개를 묶으면, Instance
Instance 여러 개를 묶으면, Region

Instance 당 1개의 스패닝 트리가 동작한다.

참고로, 동일 VLAN 번호일지라도 서로 다른 Instance에 속할 수 있다.

2. CIST와 MSTI

MSTP에는 2가지 스패닝 트리가 사용된다.

CIST

Common and Internal Spanning Tree

전체 Switch 네트워크를 루프없이 연결하는 목적을 갖고 있다.
전체 Switch 네트워크의 통신 경로를 설정한다.
CIST Root Switch – 1개
CIST Regional Root Switch – Region별 1개

MSTI

Multiple Spanning Tree Instance

Region의 각 Instance 통신 경로를 설정한다.
Root Switch – MST Instance별 1개

3. MSTP 동작과정

CIST 스패닝 트리의 동작 과정

각 Switch는 특정 VLAN ID를 특정 MSTI에 할당하는 ‘MST Configuration ID’를 광고한다.
Bridge ID와 Path Cost를 이용해 CIST를 구성한다.
① 전체 LAN에서 ‘CIST Root Switch’ 1개 선택
② 각 Switch와 LAN에서 CIST Root까지의 최소값 경로 선택
여기서 각 Region 별로 CIST Root까지 최소 경로값을 갖는 Switch가 ‘CIST Regional Root Switch’가 된다.

CIST의 포트 역할
– CIST Root Port: CIST Regional Root Switch를 통해 CIST Root Switch로 가는 최소 경로값을 가진 포트
– CIST Designated Port: 접속된 LAN에서 CIST Root Switch까지 최저 경로값을 가진 포트
– CIST Alternate Port / Backup Port: 타 Switch / 포트 또는 LAN에 장애가 발생했을 때 사용되는 포트

CIST의 특징
모든 Switch를 하나의 네트워크로 연결한다.
(=각 Region을 하나로 연결한다.)
영역내부 경로가 영역외부 경로보다 우선된다.

MSTI 스패닝 트리의 동작 과정

각 Region에서 MSTI Root Switch 1개를 선택한다.
각 Switch에서 MSTI Root로 가는 최저 경로값을 선택한다.

MSTI의 포트 역할
– MSTI Root Port: MSTI Root Switch까지 최소 경로값을 가진 포트
– MSTI Designated Port: 접속된 LAN에서 MSTI Root Switch까지 최저 경로값을 가진 포트
– MSTI Master Port: Region 외부에 있는 CIST Root Switch와 연결된 포트
– MSTI Alternate Port / Backup Port: 타 Switch/포트 또는 LAN에 장애가 발생했을 때 사용되는 포트

4. MSTI BPDU

출처: MSTP protocol frames, https://techhub.hpe.com/eginfolib/networking/docs/switches/10500/cg/5200-1896_l2-lan_cg/content/470790451.htm

MSTP BPDU이므로
– Protocol Version ID는 3, BPDU Type은 2이다.
– Flags (CIST Flag): RSTP의 Flag와 동일한 Flag 값을 가진다.
– CIST Root ID: 전체 Switch 네트워크의 Root Switch ID
– CIST Path Cost: CIST 외부의 Root Switch까지의 경로값
– Bridge ID:
MSTP일 때, CIST Regional Root Switch ID
RSTP/STP일 때, Designated Switch ID
– MST Configure ID: 동일 VLAN에 소속된 Switch들끼리는 VLAN 번호와 Instance 매핑 정보가 동일해야한다. 아래의 내용을 담고 있다.
Selector(1 Byte): 항상 값 0
Configuration name(32 Byte): 가변
Revision level(2 Byte)
Configuration Digest(16 Byte): MSTP Configuration Table로부터 생성된 MD5 Signature.
– CIST Bridge ID: BPDU를 전송하는 Switch의 Bridge ID
– MSTI Configuration Messages: Region 내 Instance 별로 스패닝트리를 계산할 때 사용한다.

5. MSTP 설정

[기본 MSTP 설정]

Switch(config)# spanning-tree mode mst
Switch(config)# spanning-tree mst configuration
Switch(config-mst)# name <name>
Switch(config-mst)# instance <INSTANCE_NUM> vlan <VLAN_NUM>
Switch(config-mst)# instance 1 vlan 101-102 #(예시)#
Switch(config-mst)# revision 1
Switch(config-mst)# exit

[MSTP 우선순위 설정]

Switch(config)# spanning-tree mst 0 priority 0
Switch(config)# spanning-tree mst 1 priority 0

1: CIST Root Switch 설정
2: Instance 1의 Root Switch 설정

[MSTP 설정 확인]

Switch# show spanning-tree mst 0
Switch# show spanning-tree mst 1(or 2)

1: CIST 스패닝 트리 동작 확인
2: MSTI 스패닝 트리 동작 확인

Network

[Switch] RSTP 상세 동작과정

2021년 2월 21일 musketo 댓글 남기기

최초 RSTP 구성 과정
간접 링크 장애 시 RSTP 동작과정
직접 링크 장애 시 RSTP 동작과정
DP 장애 시 BP 동작과정

1. 최초 RSTP 구성 과정

1단계 – Root Switch 선정
우선순위가 가장 낮은 SW1가 Root Switch가 된다.

2단계 – Proposal BPDU 전송 및 DP 선택
Root Switch가 상대 Switch로 Proposal BPDU를 전송한다.
이 때, P-BPDU를 전송하는 포트는 Designated Port(DP)가 된다.

3단계 – 동기화
P-BPDU를 수신한 Switch는 수신한 포트는 Root Port(RP) 후보가 되고, 나머지 포트는 Blocking 상태로 전환한다.
RP후보를 제외하고 나머지 포트를 Blocking 하는 것을 동기화(Synchronizational)이라고 한다. 다음 단계에서 RP를 Forwarding 상태로 변경해도 루프가 발생되지 않도록 하기 위해서이다.

4단계 – Agreement BPDU 전송 및 RP 선택
SW2, SW3은 SW2의 F0/2, SW3의 F0/1을 RP로 설정한 Agreement BPDU를 Root Switch로 전송하고, Forwarding 상태로 전환한다.
이 때, A-BPDU를 전송한 포트는 Root Port(RP)가 된다.

5단계 – Root Switch의 Forwarding 상태 전환
A-BPDU를 수신한 SW1은 SW2,SW3와 연결된 F0/1, F0/2를 Forwarding 상태로 전환한다.

6단계 SW2<->SW3 동작
SW2는 자신의 DP에 대한 P-BPDU를 SW3으로 전송하지만, SW3의 F0/3은 AP 상태이므로 A-BPDU를 전송하지 않는다.

7단계 SW2<->SW3 동작
SW3로부터 응답을 받지 못한 SW2는 15초동안 P-BPDU를 전송한다.
그래도 응답이 없으면 Learning 상태로 변경하고, 다시 15초 동안 P-BPDU를 전송한다. 이후 15초가 지나면 Forwarding 상태로 전환한다.

P-BPDU / A-BPDU는 쉽게 설명하기 위해 줄인 단어이다. 해당 용어가 실제 사용되는지는 모른다.

2. 간접 링크 장애 시 RSTP 동작과정

만약 STP를 사용한다면,
SW3의 F0/3은 Max-Age 20초동안 후순위 BPDU를 받고, Listening, Learning 순차적으로 상태가 전환되어 50초가 지나야 Forwarding 상태로 전환되었을 것이다.

RSTP를 사용한다면,
SW3의 F0/3이 후순위 BPDU를 수신하자마자 DP역할을 하기 위해 SW2에게 Proposal BPDU를 전송한다. SW2는 Agreement BPDU로 응답하고, SW3은 A-BPDU를 받자마자 F0/3을 Forwarding 상태로 전환한다.

3. 직접 링크 장애 시 RSTP 동작과정

1단계.
SW3의 RP인 F0/2가 다운되면, F0/3이 즉시 RP역할을 이어받고 Forwarding 상태로 전환한다.

2단계.
동기화를 위해 F0/14는 Blocking 상태로 전환하고, BP인 F0/15를 AP로 변경한다.

3단계.
DP인 F0/14를 통해 Proposal BPDU를 전송하고, F0/15로 다시 되돌아온 것을 확인함과 동시에 F0/15를 BP로 변경한다.

4단계.
F0/14로 Proposal BPDU를 30초간 전송하고, 이후 Forwarding 상태로 전환한다.

4. DP 장애 시 BP 동작과정

SW3의 DP인 F0/14가 다운되면, F0/15가 DP 역할을 이어받는다.
30초간 Proposal BPDU를 전송하고 Forwarding 상태로 전환한다.

만약 F0/14가 복구된다면,
F0/14는 DP, F0/15는 BP로 변경되고, F0/14가 30초간 Proposal BPDU를 전송하고 Forwarding 상태로 전환한다.

Network

[Switch] RSTP

2021년 2월 21일 musketo 댓글 남기기

Rapid Spanning-Tree Protocol

동작 시간이 느린 STP를 대체할 수 있는 RSTP이다. STP 타이머나 Fast 설정을 해도 단축된다곤 한다만,, 여전히 한계가 있다. 그래서 IEEE는 2001년 6월 RSTP를 발표했으며 지금은 802.1W에 정의되어있다.

STP는 경우에 따라 Blocking 상태에서 Forwarding 상태까지 소요 시간이30초 or 50초지만, RSTP는 토폴로지에 변화가 생길 경우 즉시 반영된다. RTSP에서는 자신의 BPDU가 더 우세하면 바로 본인이 Designated Port라고 주장하는 Proposal BPDU를 보낸다. 이 Proposal BPDU를 수신한 상대가 동의하면 Agreement BPDU로 응답한다.

이외 Root Switch를 선정하고, Root Port/Designated Port를 결정하여 활성 토폴로지를 구성하는 것은 동일하다.

RSTP와 STP는 별도 설정없이 호환된다.
RSTP를 사용하는 Switch의 특정포트가 STP를 사용하는 Switch와 연결되었다면, STP에서 사용하는 Configuration BPDU와 TCN BPDU가 전송된다.

RSTP의 BPDU
RSTP 포트 상태
RSTP 포트 종류
RSTP 링크 종류
RSTP 설정

1. RSTP의 BPDU

STP의 Configuration BPDU와 비슷하다.

출처: Ethernet, VLAN, STP, https://www.slideshare.net/isikalp82/alp-stp

Version 값은 항상 2이다.
Message Type(BPDU Type) 값은 항상 2이다.
RSTP BPDU임을 표시하기 위함이다.
Flag 필드는 모두 다 사용한다.
STP에서 Bit 0과 Bit 7만 사용한다.
Bit 7은 TCN BPDU를 수신했음을 알릴 때 사용하지만, RSTP는 TCN BPDU 차제를 사용하지 않기 때문에 거의 Bit 7을 사용하진 않는다. 다만, STP가 동작하는 Switch와의 호환성을 위해 사용한다.
마지막에 ‘Version 1 length’가 추가 되었다.

2. RSTP 포트 상태

Discarding
STP의 Blocking 상태와 동일하다.

Learning
STP의 Learning 상태와 동일하다.
학습 시간은 기존 15초보다 훨씬 짧다.

Forwarding
STP의 Forwarding 상태와 동일하다.

3. RSTP 포트 종류

Root Port
STP의 Root Port와 동일하다.
Switch 당 RP 1개씩 선택된다.

Designated Port
STP의 Designated Port와 동일하다.

Alternate Port
RP가 다운되면 RP 역할을 이어받는 포트이다.
Blocking 상태에 있으며, 데이터 송수신은 하지 않고 BPDU만 수신한다.

Backup Port
DP가 다운되면 DP 역할을 이어받는 포트이다.
복수개의 링크로 구성하면, BP가 생긴다.
Blocking 상태에 있으며, 데이터 송수신을 하지 않는다.

Disabled Port
RSTP에서 역할이 없는 포트이다.
ex) 셧다운된 포트

4. RSTP 링크 종류

Duplex에 따른 구분

(1) Point-to-Point Link : Full-Duplex로 동작하는 포트
(2) Shared Link : Half-Duplex로 동작하는 포트

상대 장비에 따른 구분

(1) Link : RSTP로 동작하는 Switch와 연결된 포트
(2) Edge : STP가 동작하지 않는 장비(PC,라우터)와 연결된 포트, Catalyst Switch에서는 portfast를 설정해야만 Edge 포트로 동작.
(3) Peer : STP와 같은 (RSTP가 아닌) 프로토콜로 동작하는 Switch와 연결된 포트

Point-to-Point Peer
Full-Duplex로 동작하고, STP가 동작중인 Switch와 연결된 포트
(STP가 아닐수도 있음)
Point-to-Point Link
Full-Duplex로 동작하고, RSTP가 동작중인 Switch와 연결된 포트

링크 종류 설정

Switch(config)# interface <INTERFACE>
Switch(config-if)# spanning-tree link-type [point-to-point | shared]

5. RSTP 설정

Switch(config)# spanning-tree mode rapid-pvst
Switch(config)# spanning-tree vlan 1 priority <num>
Switch(config)# interface <INTERFACE>
Switch(config-if)# spanning-tree portfast

1: RSTP를 사용한다.
2: RSTP 우선순위를 조정하여 Root Switch로 만들 수 있다.
3,4: RSTP가 동작한다면 종단장치나 라우터가 연결된 포트는 portfast 설정하여 바로 Forwarding 상태로 변경되도록 한다.

Network

[Switch] 이더채널

2021년 2월 19일 musketo 댓글 남기기

이더채널; Etherchannel
두 Switch 사이에 여러 포트들을 하나의 포트처럼 동작하게 한다. STP는 이더채널을 하나의 포트로 간주한다.
이더채널을 생성하고나선 반드시 port-channel에서 설정을 변경해야 한다.

이더채널 Protocol Type

시스코에서 만든 PAgP(Port Aggregation Protocol)
1개의 이더채널은 최대 8 포트로 구성할 수 있다.
Desirable과 Auto Mode 사용.
IEEE에서 만든 LACP(Link Aggregation Control Protocol)
1개의 이더채널은 최대 16 포트로 구성할 수 있다.
(8개 사용 + 8개 백업용)
Active와 Passive Mode 사용.

이더채널 Mode

Active – 무조건 LACP 사용, 만일 상대 Switch와 이더채널이 안되면 일반 단일 포트로 사용됨.
Desirable – 무조건 PAgP 사용, 만일 상대 Switch와 이더채널이 안되면 일반 단일 포트로 사용됨.
Passive – 상대가 LACP 사용할 때만, LACP 활성화
Auto – 상대가 PAgP 사용할 때만, PAgP 활성화
on – 상대 Switch와 협상없이 이더채널 멤버포트를 모두 활성화, 상대 Switch도 on으로 설정해야함.

이더채널 설정

1. Routed 이더채널

Routed 포트로 동작하는 이더채널.

Switch(config)# interface range <port range>
Switch(config-if)# no switchport
Switch(config-if)# channel <channel_num> mode <mode>
Switch(config-if)# exit
Switch(config)#
Switch(config)# interface port-channel <channel_num>
Switch(config-if)# ip addr <ip> <subnet>
Switch(config-if)# exit
Switch(config)# exit
Switch# show etherchannel summary
Switch# show interface port-channel <num>

3: channel의 포트번호는 Switch 모델에 따라 다르다. ex) catalyst 3550: 1-64, 3560: 1-48.
mode는 active/desirable/passive/auto/on 중 하나를 선택한다.
6: 이더채널 포트로 접속 하여 IP를 설정한다.
10,11: 이더채널이 정상 설정되어있는지 확인한다.

2. SVI 이더채널

가상 VLAN 포트로 동작하는 이더채널.

Switch(config)# interface range <port range>
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan <vlan_num>
Switch(config-if)# channel <channel_num> mode <mode>
Switch(config-if)# exit
Switch(config)#
Switch(config)# interface vlan <vlan_num>
Switch(config-if)# ip addr <ip> <subnet>
Switch(config-if)# exit
Switch(config)# exit
Switch# show etherchannel summary
Switch# show ip interface brief

2,3: Access 포트로 설정하고 허용할 VLAN을 설정한다.

3. Access 포트 이더채널

Access포트로 동작하는 이더채널

Switch(config)# interface range <port range>
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan <vlan_num>
Switch(config-if)# channel <channel_num> mode <mode>
Switch(config-if)# exit
Switch(config)# exit
Switch# show etherchannel summary
Switch# show interface port-channel <num>

4. Trunk 포트 이더채널

Trunk 포트로 동작하는 이더채널.

Switch(config)# interface range <port range>
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# channel <channel_num> mode <mode>
Switch(config-if)# exit
Switch(config)# exit
Switch# show etherchannel summary
Switch# show interface port-channel <num>

2,3: Trunk 인캡슐레이션 및 Trunk 포트로 설정

Network

[Switch] STP 조정 및 보호기술

2021년 2월 18일 musketo 댓글 한 개

STP는 전원을 꽂기만 하면 동작되는 ‘Plug and Play’ Protocol이라고 한다. 그러나 STP 값을 조정하지 않고 그대로 사용한다면, 네트워크의 동작 속도는 느릴 것이다. 장애가 발생되어 복구하는 시간도 오래 소요되고, 간단한 조작에 의해서도 스위치 네트워크가 마비될 수 있다.

이러한 위험(?)을 방지하고자 STP를 좀 더 유용하게 사용하려면, 컨버전스 시간을 조정해야 한다. ‘컨버전스 시간’이란, 토폴로지에 변동이 생겼을 때 네트워크가 재구성될 때까지 소요되는 시간이다.

컨버전스 시간을 줄이는 방법은 아래와 같다.

┌─ Port Fast
├─ Uplink Fast
├─ Backbone Fast
├─ Hello / Max-Age / Forward-Delay 조정
└─ RSTP 또는 MSTP 사용

또한, STP는 보안에 취약하다.
STP 네트워크를 보호하는 방법은 아래와 같다.

┌─ BPDU Guard
├─ BPDU Filtering
├─ Loop Guard
├─ Root Guard
└─ UDLD

1. STP 조정

1-1. Port Fast

Switch의 Port가 활성화되면, Listening 상태부터 시작한다.
(Blocking → Listening → Learning →Forwarding)
그러나 Port Fast 기능을 사용하면, Listening 상태가 아닌 바로 Forwarding 상태가 되도록 한다.
(Blocking → Forwarding)
보통 PC나 서버 등과 같이 종단 장치가 연결된 Port에 설정한다.

설정

[방법1. 모든 Access port에 Port Fast 적용]

Switch(config)# spanning-tree portfast default

Hub/Switch/Bridge가 연결되어있다면, 일시적으로 프레임 루프가 발생할 수 있다. Switch 간 Access port를 사용하는 추세이므로 가능한 이 방법은 권장하지 않는다.

[방법2. 특정 인터페이스에 Port Fast 적용]

Switch(config)# interface <INTERFACE>
Switch(config-if)# spanning-tree portfast

[Trunk 포트에 Port Fast 적용]
Server/Router 등과 연결되는 Trunk 포트나 링크가 하나 뿐인 Switch를 연결하는 Trunk 포트에선 사용할 수 있다.

Switch(config)# interface <TRUNK_INTERFACE>
Switch(config-if)# spanning-tree portfast trunk

1-2. Uplink Fast

직접 연결된 링크가 다운되었을 때, Blocking 상태에 있는 포트를 즉시 Forwarding 상태로 변경한다. Root Switch에선 차단 상태 포트가 없으므로 Access(종단) Switch에서 설정한다. Uplink Fast 설정 시 자신을 Access Switch로 만들기 위해 Priority를 32768에서 49152로 변경한다.

설정

Switch(config)# spanning-tree uplinkfast

1-3. Backbone Fast

직접 접속되지 않은 간접 링크가 다운되었을 때, Blocking 상태의 포트에서 Max-Age를 생략하고 바로 Listening 상태로 변경한다. Max-Age를 생략하면 Forwarding 단계까지 20초 단축할 수 있다.

동작과정

‘SW1—SW2’ 링크 다운
SW2는 자신이 Root Switch라고 주장하는 후순위 BPDU를 SW3로 전송
SW3이 ‘SW1—SW2’ 링크 다운 인지
SW3가 SW1로 RLQ 전송 (‘SW3—SW1’ 링크 상태 확인을 위함)
SW1은 이상이 없다는 의미로 RLQ 응답패킷 전송
해당 패킷을 받은 SW3는 Blocking 상태 포트의 Max-Age를 만료시켜 바로 Listening 상태로 변경

설정

Backbone Fast를 구성하려면 전체 Switch에서 설정해야한다.

Switch(config)# spanning-tree backbonefast

1-4. STP Timer 조정

앞서 본 Fast 방식 설정 말고, 직접 타이머를 조정하여 컨버전스 시간을 단축할 수 있다.

– 기본값
Diameter 별로 타이머 기본 값이 상이하다.
기본 Diameter 값은 7이다.

Diameter 값을 조정해 STP 타이머를 변경하려면, 반드시 Root Switch에서 조정해야 한다. 일반 Switch에서 설정하면 나중에 해당 Switch가 Root Switch가 되어야만 전체 네트워크에 적용되기 때문이다.

[Root Switch에서 Diameter 조정]

Switch(config)# spanning-tree vlan <VLAN_NUM> root primary diameter [2-7]

[Hello / Max-Age / Forward-Delay 조정]

Switch(config)# spanning-tree vlan <VLAN_NUM> hello-timer [1-10]
Switch(config)# spanning-tree vlan <VLAN_NUM> max-age [6-40]
Switch(config)# spanning-tree vlan <VLAN_NUM> forward-time [4-30]

2. STP 네트워크 보호

2-1. BPDU Guard

특정 Port를 통해 BPDU 수신 시 해당 Port를 자동으로 Shutdown한다. 이렇게 shutdown된 Port는 ‘다시 직접 shutdown → no shutdown’ 해야 up된다. 일반적으로 PC/Server와 같은 종단 장치가 BPDU를 전송하지 않으므로 이러한 Port에 설정한다.

설정

[방법1. Port Fast가 적용된 Port에 설정]

Switch(config)# spanning-tree portfast bpduguard default

[방법2. 특정 인터페이스에 적용]

Switch(config)# interface <INTERFACE>
Switch(config-if)# spanning-tree bpduguard enable

[복구]

Switch(config)# errdisable recovery cause bpduguard
Switch(config)# errdisable recovery interval 120

1: 300초 후 자동으로 Port 복구
2: 120초 후 자동으로 Port 복구

2-2. BPDU Filtering

특정 Port로BPDU를 보내거나 받지 않게 한다. 보통 BPDU를 수신하지 않아도 되는 종단 장치에 불필요한 프레임이 전송되는 것을 방지한다. BPDU를 보내지 않기 때문에 STP가 동작하지 않는 것과 비슷하다.

설정

[방법1. portfast가 적용된 포트에만 BPDU Filtering 설정]

Switch(config)# spanning-tree portfast bpdufilter default

[방법2. 특정 인터페이스에 설정]

Switch(config)# interface <INTERFACE>
Switch(config-if)# spanning-tree bpdufilter enable

만약, SW3의 F0/3에 BPDU Filtering을 하면 어떻게 될까?

SW3의 F0/3은 현재 Alternate Port이다. 이런 상황에서 BPDU Filtering을 설정하면, F0/3은 BPDU를 받지 못할 것이고 STP로 인해 Designated Port로 변경될 것이다. 그럼 SW3 — SW2 링크가 살아나고, 루프가 생길 것이다.

2-3. Loop Guard

일반적으로 Blocking 상태에 있는 포트가 BPDU를 받지 못했을 때, 일정 시간이 지나게 되면 Forwarding 상태로 변경된다. 이 것을 방지하는 기능이다. 이 기능을 사용하면 Blocking 상태의 포트가 Loop Inconsistent(루프 비일관) 상태로 바뀐다. Loop Inconsistent도 Blocking과 비슷하다.

다시 BPDU를 받게 되면 자동으로 정상적인 Blocking 상태로 돌아간다. 물론, Loop Guard가 설정되어도 링크가 다운되거나 후순위 BPDU를 받는 경우엔 Blocking 상태에서 Forwarding 상태로 변경된다.

설정

[방법1. 전체 인터페이스에 적용]

Switch(config)# spanning-tree loopguard default

[방법2. 특정 인터페이스에 적용]

Switch(config)# interface <INTERFACE>
Switch(config-if)# spanning-tree guard loop

2-4. Root Guard

특정 포트에 접속된 네트워크에 있는 Switch들이 Root Switch가 될 수 없도록 한다. Root Guard가 설정된 포트에서 현재의 Root Bridge ID보다 더 우선되는 Bridge ID를 수신하면 해당 포트를 다운시킨다.

설정

[방법. 특정 인터페이스에서 설정]

Switch(config)# interface <INTERFACE>
Switch(config-if)# spanning-tree guard root

[복구]
문제되는 Bridge ID를 가진 Switch에서 우선순위를 조정하면 차단된 포트가 다시 활성화된다. 또는, 해당 포트를 shutdown → no shutdown하여 활성화할 수 있다.

2-5. UDLD

Unidirectional Link Detection
Switch 간 링크에서 단방향 링크가 생겼을 때, 해당 포트를 다운시킨다. 단방향 링크로 인해 L2 루프가 발생하거나 한 쪽에서 보낸 프레임이 사라지는 블랙홀 현상이 발생할 수 있기 때문이다.

주기적으로 송신포트를 통해 UDLD패킷을 전송한다. 이 패킷을 수신한 상대는 다시 자신의 송신포트를 통해 Echo시킴으로써 양방향 링크가 정상 동작하는지 확인한다.

얼핏 보면, Loop Guard와 비슷한 기능이라고 생각할 수 있지만, Loop Guard는 소프트웨어적인 상황(상대 Swtich 이상)으로 인해 BPDU를 송신하지 못할 때 동작하고 UDLD는 케이블링을 감지하여 동작한다. UDLD를 사용하려면 상대 Switch도 UDLD 기능을 지원해야한다.

UDLD Mode

Normal Mode(일반모드): 광케이블 결선 오류로 인한 단방향 링크를 감지한다.
Aggressive Mode(적극?모드): 광케이블 및 UTP의 단방향 트래픽으로 인한 단방향 링크를 감지한다.

설정

[방법1. 전체 인터페이스에 설정]

Switch(config)# udld [Aggressive | normal]

[방법2. 특정 인터페이스에 설정]

Switch(config)# interface <INTERFACE>
Switch(config-if)# udld port 
Switch(config-if)# udld port aggressive

2: or 3: 둘 중 하나를 택하여 설정한다.
2-Normal, 3-Aggressive

[복구]

Switch# udld reset
OR
Switch(config)# errdiasble recovery cause udld

이외에도 다운된 포트에서 직접 복구하는 방법도 있다.

Network

[Switch] 종단/지역 VLAN 네트워크

2021년 2월 10일 musketo 댓글 남기기

종단 VLAN (End-to-End)
사설 VLAN (Local)

1. 종단 VLAN

End-to-End VLAN

종단 VLAN이란, VLAN 하나가 전체 Switch에 걸쳐있는 VLAN이다. Switch 경로를 조정하기 까다롭다. 라우터나 L3 스위치와 같은 라우팅이 가능한 장비와 가까운 곳에 Root Switch를 지정하는 것이 경로 조정하기에 편하다.

위와 같은 네트워크가 있다고 생각해보자. Switch 네트워크를 보면 무엇이 떠오르는가? 그렇다. 이 Switch는 필연적으로 STP가 동작되어 Switch 포트들 중 하나는 Blocking 상태로 전환될 것이다. 이렇게 되면 사실상 네트워크를 제대로 사용한다고 보긴 어려울 것이다.

당연히 이 상황을 해결할 수 있다.
VLAN 10은 SW4 → SW3 → SW1로 이동하도록 할 것이고,
VLAN 20은 SW4 → SW2 → SW1로 이동하도록 할 것이다.
만일에 대비해 링크 하나가 Down되면, 한쪽으로 스위칭하도록 한다.

이렇게 구성하려면
SW1은 Root Switch,
SW2는 VLAN 20의 제 2 Root Switch,
SW3은 VLAN 10의 제 2 Root Switch로 설정하면 된다.

VLAN 10 입장에선 SW2-SW4 링크가 끊긴 것으로 간주하고,
VLAN 20 입장에선 SW3-SW4 링크가 끊긴 것으로 간주한다.

1-1) Root Switch 및 제 2 Root Switch 설정

[방법1: Spanning-tree vlan priority]

SW1(config)# spanning-tree vlan 10,20 priority 0
SW2(config)# spanning-tree vlan 20 priority 4096
SW3(config)# spanning-tree vlan 10 priority 4096

[방법2: Spanning-tree vlan root]

SW1(config)# spanning-tree vlan 10,20 root primary diameter 4
SW2(config)# spanning-tree vlan 20 root secondary
SW3(config)# spanning-tree vlan 10 root secondary

primary 옵션을 사용한 Switch는 자신의 우선순위를 다른 Switch들보다 낮춰 Root Switch가 된다.
Secondary 옵션은 Root Switch보다 우선순위를 높게, 다른 Switch보다는 낮게 설정한다.

우선순위를 조정해도 Bridge ID가 낮은 Switch가 존재할 가능성이 있다. 우선순위를 0으로 고정시키는게 더 확실하지만, 우선순위가 0이면서도 MAC주소가 낮아 결국 Bridge ID가 더 낮은 Switch가 존재할 수 있기 때문에 100% 보장하진 않는다.

diameter 옵션은 Root Switch를 포함해 가장 멀리 떨어진 Switch 수량을 의미한다. SW1-SW3 링크가 끊겼을 때, SW1부터 SW3까지 총 4개의 Switch를 거치기 때문에 4를 입력했다. 참고로 이 diameter를 통해 컨버전스 시간을 단축시킬 수 있다.

2. 지역 VLAN

Local VLAN

지역 VLAN이란, 하나의 VLAN이 일부 네트워크에만 존재하는 것을 말한다. 종단 VLAN에 비해 설정이 편리하고, 유지보수나 장애처리도 간단하다고 한다.

위 토폴로지를 보자. PC1과 PC2는 R1까지 가지 않아도 SW2나 SW3에서 라우팅되어 통신할 수있다. 그렇게 되면 VLAN 10과 VLAN 20은 일부 네트워크에만 걸쳐있다고 볼 수있다. VLAN 30도 마찬가지다.

지역 VLAN에서는 Root Switch를 조정할 필요가 없다. 어차피 동일한 VLAN에 의해 구성되는 Loop가 없기 때문에 STP에 의해 차단된 포트가 없으니 말이다.

지역 VLAN 사용 중 장애가 발생하면, 라우팅 프로토콜에 의해 컨버전스가 일어남으로 장애복구가 빠르다. 부하분산(Load Balancing)도 라우팅 테이블에 의해 발생되므로 정교하다. 네트워크 토폴로지도 직관적이라서 유지보수에도 편리하다.

2-1) 지역 VLAN 설정

각 Switch에서 L3 인터페이스와 SVI를 만든 후 IP를 할당한다.
그리고 라우팅 설정만 하면 끝.

Network

[Switch] Spanning Tree Protocol

2021년 2월 10일 musketo 댓글 남기기

Switch 네트워크에서 Switch 간의 링크를 대부분 이중으로 구성한다. 특정 Switch나 링크가 다운돼도 네트워크가 중단되지 않도록 하고, 트래픽을 분산시켜 네트워크 성능을 향상 시킬 수 있기 때문이다.

그러나 Ethernet 프레임 루프(Bridging Loop)가 발생하여 스위칭이 제대로 안될 수 있고, Switch의 MAC 테이블이 불안정해질 수 있다.

이러한 문제점을 STP로 해결할 수 있다.

BPDU
STP 동작방식
STP 포트 상태

1. BPDU

[Bridge Protocol Data Unit]
STP는 BPDU 프레임을 이용해 루프가 없는 경로를 구성한다.

BPDU에는 Configuration BPDU와 TCN BPDU 두 종류가 있다.

1-1) Configuration BPDU

출저: STP protocol frames, https://techhub.hpe.com/eginfolib/networking/docs/switches/5980/5200-3921_l2-lan_cg/content/499036672.htm

– Protocol ID: 항상 0
– Version: BPDU 버전 표시(0:STP, 2:RSTP, 3:MSTP)
– BPDU Type: BPDU 종류 표시(0x00:Configuration BPDU)
– Flag: 토폴로지 변화 표시(0x01:TC, 0x80:TCA)
– Root Bridge ID: 루트 스위치의 ID
– Path cost: 루트 스위치까지의 경로 값
– Bridge ID: 루트 스위치 가는 경로상 ,직전 스위치 ID
– Port ID: 포트 ID
– Message age: 루트 스위치까지의 스위치 수
– Max age: BPDU 정보 저장하는 시간
– Hello Time: BPDU 전송 주기
– Forward Delay: Listening/Learning 상태에서 대기하는 시간

위 Configuration BPDU를 통해 Root Switch를 선출하고, Switch Port의 역할을 지정한다. 오직 Root Switch만 Configuration BPDU를 생성할 수 있고, 다른 Switch들은 중계만 한다.

1-2) TCN BPDU

[Topology Change Notification BPDU]

– Protocol ID: 항상 0
– Version: BPDU 버전 표시(0:STP, 2:RSTP, 3:MSTP)
– BPDU Type: BPDU 종류 표시(0x80: TCN BPDU)

위 TCN BPDU를 통해 네트워크에 변경이 있을 경우 Root Switch로 보고한다. (ex. Switch 특정 링크 비활성화 등)

1-3) Bridge ID, Path cost, Port ID

[Bridge ID]
Bridge ID는 Priority(2 Bytes)와 MAC주소(6 Bytes)로 구성된다.
Priority의 기본값은 32768이고, 0~65535 범위 내 숫자로 바꿀 수 있다.

[Path cost]
포트의 속도 별로 미리 정해놓은 값이다. IEEE에서 권고한다.
10Mbps – 100 , 100Mbps – 19 , 1Gbps – 4 , 10Gbps – 2

[Port ID]
BPDU를 전송하는 Switch의 port priority와 포트번호로 구성된다.
Port Priority의 기본값은 128이다.

2. STP 동작방식

3. STP 포트 상태

Disabled

포트가 동작하지 않는 상태다.
고장이 났거나 고의적으로 Shutdown한 상태다.

Blocking

브리징 루프 방지를 위해 Alternate Port(AP)로 선정한 상태다.
오직 Root Switch로부터 BPDU만 수신할 수 있다. 만약, Max-Age 타이머 안에 BPDU를 수신하지 못하거나 후순위 BPDU를 수신하면 Listening 상태로 변경된다.
여기서 후순위 BPDU란, 기존 Root ID보다 값이 높은 Root ID가 설정된 BPDU를 의미한다.

Listening

Blocking 다음 단계로 시작되거나 Switch 포트에 노드가 연결될 경우 해당 단계로 변경된다. Forwarding 단계로 변경하기 위한 준비 단계이다.
Designated Port(DP)는 BPDU를 전송하고, Root Port(RP)는 BPDU를 수신한다.(데이터 송수신 X)
Foward Delay 15초동안 추가적인 토폴로지 변화가 없으면 Learning단계로 넘어간다.

Learning

Forwarding 단계로 변경하기 위한 직전 단계이다.
프레임을 송수신하기 앞서 먼저 MAC테이블을 학습한다. Listening과 마찬가지로 Foward Delay 15초가 진행되며, 별도 토폴로지 변경이 없으면 Forwarding 단계로 넘어간다.

Forwarding

드디어 프레임을 송수신할 수 있는 상태다.
RP, DP 모두 Forwarding 단계가 될 수 있지만, AP는 될 수 없다.

** 기본적으로 Switch 포트가 활성화되면, Listening 단계부터 시작한다.

** 대체 경로가 존재하는 네트워크에서 장애가 발생하면, 대체 경로가 동작할 때까지 Max-Age 20초 / AP가 전송상태 걸리는 시간 30초(Listening → Learning → Forwarding 30초), 총 50초를 기다려야 통신이 정상적으로 복구되기 때문에 별도 컨버전스 시간을 단축시켜야 한다.

Network

[Switch] 사설 VLAN

2021년 2월 10일 musketo 댓글 남기기

Switch에 많은 고객들이 연결되었다고 가정해보자. 각 포트 당 VLAN을 할당 하거나 모든 고객에게 동일한 VLAN을 할당해야될 것이다.

하지만 두 가지 모두 문제가 발생한다.
각 포트당 VLAN을 부여하면, VLAN 부족 현상이 발생할 수 있으며, 각 VLAN마다 별도의 IP를 할당해야되기 때문에 IP 낭비가 심각해질 수 있다.
그렇다고 모든 고객에게 동일한 VLAN을 부여해도 트래픽 차단을 할 수 없어 대역폭이 낭비될 수 있고, 보안에도 취약해진다.

이런 문제를 해결해주는 것이 사설 VLAN이다.

사설 VLAN 포트의 종류

Promiscuous Port (프로미스큐어스 포트)
Isolated Port 와 Community Port에 접속된 장비들과 외부의 연결을 위한 포트이다. 여기에 할당되는 VLAN이 Primary VLAN이 된다.
Isolated Port (독립 포트)
동일한 VLAN에 소속되지만 독립 포트끼리 서로 통신할 수 없다.
동일한 GW, 동일한 Subnet을 사용한다. 외부와 통신할 수 있다.
사설 VLAN 하나에 무조건 하나의 Isolated VLAN만 가질 수 있으며, 하나의 Isolated VLAN에는 여러 물리 포트를 할당할 수 있다.
Community Port (커뮤니티 포트)
동일 VLAN에 소속된 커뮤니티 포트 간 통신할 수 있다.
독립 포트와 달리 사설 VLAN 하나에 여러 Community VLAN을 가질 수 있다. 다른 VLAN의 Communtiy VLAN과 통신할 수 없다.

그럼, Isolated 포트와 Community 포트는 서로 통신 할 수 있을까?
L3 라우팅을 하면 통신할 수 있다고 한다.
(참고: Juniper – Private VLANs)

VLAN 10은 Primary VLAN이 되고, VLAN200-202는 Secondary VLAN이 된다.

사설 VLAN의 특징

사설 VLAN Port들은 Access Port 이다.
Trunk Port는 일반/사설 VLAN 트래픽 모두 전송한다.
사설 VLAN의 Primary VLAN(Promiscuous VLAN)은 오직 하나이다. 물론, 포트는 여러개 할당할 수 있고, 사설 VLAN 내 모든 포트는 Primary VLAN의 멤버이다.
L3 게이트웨이는 Promiscuous Port를 통해 연결한다.
Primary VLAN SVI에 IP를 부여하면, 전체 사설 VLAN의 Subnet이 된다.

사설 VLAN 설정 시 주의사항

사설 VLAN은 VTP Transparent Mode에서만 가능하다. 사설 VLAN을 설정한 후에는 VTP Mode를 변경할 수 없다.
사설 VLAN에 대한 정보는 vlan.dat가 아닌 running-config에 저장된다.
전체 사설 VLAN에서 하나의 STP만 동작한다.
Ether-channel Port를 사설 VLAN Port로 설정하면 Ether-channel이 비활성화된다.

Network

[Switch] Virtual LAN

2021년 2월 10일 musketo 댓글 남기기

Virtual LAN
Trunking
VTP
Switch Port 타입

1. Virtual LAN

논리적으로 분할된 Switch Network이다. VLAN이 다르면 서로 통신할 수 없다.

VLAN의 역할

(1) Broadcast Domain 분할
Broadcast를 수신하면 장비들은 본인의 것인지 확인하고 처리해야 하기 때문에 많은 Broadcast 패킷은 장비 성능에 변화를 주고, 네트워크 대역폭도 차지하기 때문에 좋지 않다. VLAN은 적절하게 구역을 나눔으로써 이러한 Broadcast 패킷을 줄여준다.

(2) 보안성 강화
서로 다른 VLAN은 L3 장비를 통해서만 통신할 수 있다.

(3) 부하 분산
Switch가 STP를 구성하면 링크 한 쪽이 꺼지면서 특정 링크로만 트래픽을 집중시키게 된다. 하지만 각 Switch에서 VLAN을 다르게 설정하면, VLAN마다 트래픽 경로가 달라지므로 L2 Load Balancing을 기대할 수 있다.

VLAN의 특징

사용가능한 VLAN 개수는 Switch 모델마다 다르다.

VLAN 하나 당 STP가 지원되는 Switch 수는 128개이다. 물론, 수량이 많아져도 MSTP나 루프 없는 네트워크를 구성하여 큰 제약이 되진 않는다.

2. Trunking

Trunk란, 여러 개의 VLAN 프레임을 전송할 수 있는 링크를 의미한다. 즉, Trunk 포트로 동작시키는 것을 Trunking이라고 한다. Tagged 포트라고 하기도 한다.

Trunking Protocol

Trunk 포트를 통해 프레임을 전송한다면, 반드시 VLAN 번호를 표시해야한다. 그래야 해당 VLAN에 속한 포트로 Flooding을 할 수 있기 때문이다. ‘Trunk Encapsulation’이라고도 한다. Cisco 기준으로 ISL과 802.1Q가 있다.

2-1) 802.1Q Trunking

IEEE 802.1Q에서 정의된 표준 프로토콜이다. Ethernet 프레임에서 Source MAC 뒤에 4 Byte의 ‘802.1Q Field’를 추가한다.

[Field 설명]
Ethertype | 값: 0x8100
– 이 프레임이 802.1Q라는 것을 표시한다. TPID(Tag Protocol Identifier)라고도 한다.

Priority | 값: 0~7
– 프레임의 우선순위를 표시한다. 높을수록 빨리 전송된다. CoS(Class of Service)라도고 한다.

CFI; Canonical Format Identifier | 값: 0 or 1
– 값이 1일 때, 토큰링 프레임이 Encapsulation된 것으로 간주한다.

VLAN Number | 값: 1~4094
– 프레임의 VLAN을 표시한다.

[Native VLAN]
VLAN 번호를 표시하는 VLAN이다.
802.1Q Trunking에서만 사용되며, 양쪽 Switch에서 설정된 Native VLAN이 동일해야 한다.
예를 들어, Native VLAN이 2일 때, VLAN 2에 속한 프레임은 별도의 Encapsulation 없이 Trunk로 전송한다. 상대측에서도 Encapsulation 되지 않은 프레임을 받는다면, 당연히 Native VLAN이라 간주한다.

2-2) ISL

Cisco에서 개발한 Trunking Encapsulation이다. 확장 VLAN을 지원하지 않아 점차 사용하지 않는다고 한다. Ethernet 프레임 앞에 ‘ISL Header(26 Bytes)’와 뒤에 ‘ISL FCS(4 Bytes)’를 추가한다.

2-3) Switch 포트의 DTP Mode

[Dynamic Trunking Protocol]
DTP란, Cisco Switch에서 상호 Switch간 Trunk 관련 사항을 협상할 때 사용하는 프로토콜이다. 협상 내용은 ⒧Encapsulation 방식, ⑵Trunk 포트로 전환여부이다.

⑴ Encapsulation 방식
Switch 모델마다 조금씩 다르나 보통 dot1q / ISL / Negotiate 이다.

⑵ Trunk 포트 전환 여부 = 포트Mode 설정
– Access Mode
상대와 상관없이 항상 Access port로 동작한다.
– Trunk Mode
상대와 상관없이 항상 Trunk port로 동작한다. Trunk port로 설정 전 Encapsulation 방식을 지정해야 한다.
– Dynamic Desirable Mode
상대가 Trunk / Desirable / Auto → Trunk로 동작
상대가 Access → Access로 동작
– Dynamic Auto Mode
상대가 Trunk / Desirable → Trunk로 동작
상대가 Access / Auto → Access로 동작
– Nonegotiate Mode
본인이 Trunk로 동작할 때, 상대에게 DTP 패킷을 전송하지 않는 옵션(Mode 아님). Dynamic Mode에선 사용할수 없다. 상대가 Dynamic Desirable 상태에서 Nonegotiate로 설정하면, 상대의 DTP를 무시하므로 본인은 Trunk, 상대는 Access가 되는 상황이 벌어진다. 보통 서로 Trunk일 때, 트래픽 감소용으로 사용한다.

3. VTP

[VLAN Trunking Protocol]
여러 Switch들이 VLAN 설정 정보를 교환할 때 사용한다.
동일 VLAN끼리 통신할 때, 중간 스위치에 해당하는 VLAN이 없으면 해당 VLAN은 통신할 수 없다. 이러한 상황을 방지하고자 Switch 하나에서 VLAN 정보가 변경되었을 때 나머지 Switch들도 변경된 정보를 자동으로 전달해주는 것이다.

3-1) VTP 동작 과정

– 새로운 Switch를 연결할 때에는 VTP 번호를 확인하기 어렵기 때문에 반드시 VTP 설정번호를 초기화하고 연결해야 한다.

3-2) VTP Domain

Switch 간 VTP Domain 이름이 동일해야만 VTP 정보를 주고 받는다.
VTP 동작을 위한 최소 조건은 ⑴VTP Domain 이름 동일, ⑵Trunk 포트로 연결이다.

단, Trunk로 연결되어도 VTP 이름을 설정하지 않았다면 VTP가 동작하지 않는다. VTP Domain 이름이 다르다면 서로의 VTP 정보를 무시한다.
하나의 Switch에서 VTP Domain 이름을 지정하면 Trunk로 연결된 Switch의 VTP Domain 이름도 같이 바뀐다.

VTP 정보는 Router를 넘길 수 없다.

3-3) VTP Mode

Server, Client, Transparent 3가지로 나뉜다.

VTP Server Mode
기본 VTP 모드.
VLAN 정보를 생성/삭제/변경할 수 있다.
타 Switch로 자신의 VTP 정보를 전송한다.
타 Switch로부터 받은 정보와 자신의 정보를 동기화한다.
타 Switch로부터 받은 정보를 타 Switch에게 중계한다.

VTP Client Mode
VLAN 정보를 생성/삭제/변경할 수 없다.
타 Switch로 자신의 VTP 정보를 전송한다.
타 Switch로부터 받은 정보와 자신의 정보를 동기화한다.
타 Switch로부터 받은 정보를 타 Switch에게 중계한다.

VTP Transparent Mode
VTP 설정번호는 0으로 고정된다.,
자신만의 VLAN 정보를 생성/삭제/변경할 수 있다.
타 Switch로 자신의 VTP 정보를 전송하지 않는다.
타 Switch로부터 받은 정보와 자신의 정보를 동기화하지 않는다.
타 Switch로부터 받은 정보를 타 Switch에게 중계한다.

3-4) VTP Version

VTPv2는 v1과 달리 Transparent Mode에서 VTP Domain 이름과 버전을 확인하지 않는다. VTPv2는 토큰링 VLAN을 지원한다.

VTPv3는 확장 VLAN 정보, 사설 VLAN 정보, MST 정보를 전송한다. VLAN 정보를 받아들일 인접 장비 지정에 대한 제어 기능이 향상되면서 잘못된 VLAN 정보를 받아들임으로 인해 발생하는 네트워크 장애 가능성을 줄였다.

3-5) VTP Pruning

자신의 VLAN이 인접한 Switch에서 필요없는 VLAN일 경우 해당 VLAN 트래픽을 전송하지 않는 기능이다. 다시 말해, 필요없는 VLAN의 Broadcast 트래픽을 Trunk 포트를 통해 전송하지 않는 것이다.

4. Switch Port 타입

[Tunnel Port]

주로 네트워크 사업자 측에서 제한된 VLAN 번호를 이용해 많은 고객을 수용하기 위해 사용한다. 아래 그림을 보자.

고객A 와 B는 같은 VLAN 번호를 사용하지만, 서로 다른 망이어야 한다.
이럴 때, IEEE 802.1Q 터널링을 통해 고객을 구별할 수 있다. 각 고객마다 VLAN tag를 부착해 전송하는 것이다. 이것을 Metro tag라고도 한다.

고객 A의 SW11에서 SW12로 통신을 해야한다고 가정해보자.

① SW11 →SW1 → SW2
SW1에서 데이터를 받는다. 이 때, Metro tag 10 부착하여 SW2로 보낸다.
② SW2 → SW12
SW2는 Metro tag 10을 보고, 해당 tag에 소속된 SW12로 전송한다. 이 때, Metro tag는 제거하고 전송한다.

즉, 사업자 내부망에서 고객 별로 하나의 VLAN만 부여하고, 내부망에서만 참조하는 것이다.

Network

[Switch] Transparent Bridging

2021년 2월 10일 musketo 댓글 남기기

OSI Layer 2에서 핵심은 Transparent Bridging과 RSTP 이다.
이번에는 Transparent Bridging에 대해 알아보고자 한다.
(RSTP는 추후에 알아본다.)

Transparent Bridgind 이란?
Transparent Bridging 절차
예시 (단일/다수 Switch에서)
예시 (MAC 테이블에 없는 Unicast Frame)
MAC 주소와 IP 주소의 관계

1. Transparent Bridging 이란?

‘Transparent’는 투명하다라는 의미를 담고 있다. 우리가 일반적으로 투명한 물체를 인식하지 못하는 것과 같은 의미로 우리가 의식하지 못하도록 알아서 동작한다는 의미로 해석하면 된다.

Transparent Bridging에서는 이더넷 스위치가 프레임을 수신하고, 목적지로 송신하는 방식과 절차를 정의한다. 또한, 스위치가 수신한 이더넷 프레임을 참조하여 MAC 테이블을 관리하고, 목적지로 전송할 때 사용하는 프로토콜이 되겠다.

2. Transparent Bridging 절차

자 그럼, Transparent Bridging이 뭔지 알았으니 어떻게 동작하는지 보자.

3. 예시 (단일/다수 Switch)

단일 Switch에서 어떻게 Transparent Bridging이 동작하는지 알아보았다. 그러나 사실 다수 Switch가 연결된다고 해서 동작방식이 크게 바뀌지 않는다. 동일하다고 생각해도 무방하다. 복잡해보일뿐.

4. 예시 (MAC 테이블에 없는 Unicast Frame)

Switch의 Aging-Timer와 PC/Router 간 ARP 지속 시간이 달라 이런 상황이 발생한다.

예를 들어, PC1이 PC2로 PING 테스트를 한다고 가정하자.
① PC1에는 PC2에 대한 MAC이 있어 ARP 없이 바로 요청을 보낸다.
② 하지만 Switch에는 Aging-Timer가 만료되어 이미 PC2에 대한 MAC이 사라진지 오래다.
③ 그래서 Transparent Bridging 규칙에 의거하여 수신 포트를 제외한 나머지 포트로 Flooding 한다.

5. MAC 주소와 IP 주소의 관계

Ethernet 기준으로 IP 패킷을 특정 목적지로 보내기 위해 다음 홉에 있는 장비의 MAC을 알아야만 한다. 하지만 다음 홉 장비의 MAC을 모른다면, Destination MAC을 어떻게 해야할까? Broadcast, Multicast, Unicast 별로 알아보도록 하자.

Broadcast일 경우,

IP가 255.255.255.255이거나 각 네트워크의 Broadcast IP일 때, 모든 장비가 이 패킷을 수신하고 처리해야한다.
MAC은 FFFF.FFFF.FFFF로 매핑된다.

Multicast일 경우,

라우팅 정보 송신용 IP, 방송 중계 등과 같은 특정그룹으로 전송할 때 사용한다.
MAC은 0100.5Exx.xxxx로 매핑된다. 물론, 일부 프로토콜은 다른 MAC으로 매핑되는 경우도 있다. (CDP, STP 등)

Unicast일 경우,

동일 네트워크라면, ARP를 통해 MAC을 매핑한다.
외부 네트워크라면, Gateway나 Proxy를 사용하여 MAC을 매핑한다.

(외부 네트워크) Gateway를 통한 MAC 매핑
Switch에 Default-Gateway가 설정되어있다면, 목적지 IP 대신 GW IP에 대해 ARP 프레임을 전송한다.

① SW1이 외부 200.200.200.1로 PING하려면, 네트워크가 다르기 때문에 GW로 전송해야한다.
② 그래서 GW의 MAC주소를 찾는 ARP를 요청한다.
③ ARP 요청 패킷을 수신한 R1은 본인의 MAC을 전송한다.
(이 때, 출발지 IP와 출발지 MAC은 모두 R1이다.)

(외부 네트워크) Proxy를 통한 MAC 매핑
Switch에 Default-Gateway가 설정되지 않았을때, Switch는 어떻게 해야할까.

① Switch가 200.200.200.1로 PING을 하기 위해 GW로 전송해야하는데 모르는 상황이다.
② GW IP 대신 직접 목적지(200.200.200.1)의 MAC을 찾는 ARP 패킷을 전송한다.
③ ARP 패킷을 수신한 R1에서 ⑴ARP 패킷의 목적지 주소로 라우팅이 가능하고 ⑵Proxy ARP가 활성화 되어있다면, R1 본인의 MAC을 SW로 응답한다. (이 때, 출발지 IP는 200.200.200.1, 출발지 MAC은 R1의 MAC이다.)
만일, 위 두 가지가 충족되지 않다면, ARP 응답을 하지 않는다.