4. • Ingress packet buffer에 full이 발생한 노드(PC/서버/스위치/라우터)가 해당 포트와 연결된 노드(PC/서버/스위
치/라우터)에게 PAUSE 프레임을 전송하여 트래픽 송출을 일정시간 중단하도록 요청함
• IEEE 802.3x에서 표준화
• Full duplex에서만 동작함
• 초기 Half-Duplex기반의 Ethernet Switch에서 사용되던 Flow Control 기법은 Jam Signal(Ethernet bus상에서
collision이 발생했다는 상황을 알려주는 Signal)을 의도적으로 전달하여 전송을 억제하는 방법을 사용
• 양방향 가능. 즉, 두 노드가 서로간에 주고 받는 이더넷 프레임으로 Ingress buffer full 발생 시 서로가 PAUSE
프레임을 보낼 수 있음
• 각 노드는 auto negotiation (혹은 optionally LLDP)을 사용하여 상대편 장비가 PAUSE 프레임 능력이 있는지
확인이 가능함
Ethernet Flow Control
4
5. • 01:80:C2로 시작하는 주소는 IEEE 802에서 reserved한 멀티캐스트 주소로, 멀티캐스트임에도 다른 포트로 전
송하지 않고 수신 노드가 해당 프레임을 처리함
• 참고: STP에 사용되는 BPDU(Bridge Protocol Data Unit)의 DA는 01:80:C2:00:00임
• MAC Control Opcode (2B) = 0x0001이면 PAUSE frame
• Pause Time (2B, 0 ~ 65,535) x ‘Pause Quantum (512b)’ 동안 기다려 달라!
• 예: pause time = 2이면 2 x 512b = 1024bit 시간 동안 전송을 중단해 달라
PAUSE Frame
5
6. PAUSE Frame (cont)
6
링크 속도별 최대 전송 중단 가능 시간
• 100Mbps 링크: 335.5 ms
• 1Gbps 링크: 33.35ms
• 10Gbps 링크: 3.355ms
10. • 인접한 장비간에 정보를 주고 받아(디폴트 30초 주기로 전송), 연결된 장비의 다음 정보를 얻을 수 있음
• 장비 ID/Name/Description
• 장비와 연결된 Port ID
• Management Address
• Capability (Switch, Router, AP, etc)
• 802.3 상태 정보 (Auto-nego, Link aggregation, Maximum Frame Size, VLAN 등)
• IEEE 802.1ab에서 표준화
• Cisco는 LLDP 뿐만 아니라 비표준 자체 프로토콜인 CDP(Cisco Discovery Protocol)을 지원
LLDP (Link Layer Discovery Protocol)
10
11. • IEEE 802에서 reserved한 멀티캐스트 주소로, 멀티캐스트임에도 다른 포트로 전송하지 않고 수신 노드가 해당
프레임을 처리함
• M
LLDP Frame Format
11
7b 9b
(Type=1) (Type=2) (Type=3) (Type=0, Length=0)
12. • It identifies the chassis containing the IEEE 802 LAN station associated with the transmitting LLDP agent
• Chassis ID subtype
• 1: Chassis component
• 2: Interface alias
• 3: Port component
• 4: MAC address
• 5: Network address
• 6: Interface name
• It identifies the port of transmitting LLDP agent
• Port ID subtype
• 1: Interface alias
• 3: MAC address
• 4: Network address
• 5: Interface name
• It indicates the number of seconds that the recipient LLDP agent should consider information to be valid
(0 ~ 65535)
• When the TTL field is non-zero the receiving LLDP agent replaces information associated with transmitting LLDP
agent with the information in the received LLDPDU
• When the TTL field is set to zero, the receiving LLDP agent deletes all system information associated with the
transmitting LLDP agent
Mandatory TLV
12
Example
13. • It allows network management to advertise the system’s assigned name and description
• It identifies an address associated with the local LLDP agent that may be used to reach higher layer
entities to assist discovery by network management
• It contains a bit-map of the capabilities that define the primary function(s) of the system
Optional TLV
13
Bit Capability Reference
1 Other -
2 Repeater IETF RFC 2108
3 MAC Bridge component IEEE 802.1Q
4 802.11 Access Point (AP) IEEE 802.11 MIB
5 Router IETF RFC 1812
6 Telephone IETF RFC 4293
7 DOCSIS cable device IETF RFC 4639/4546
8 Station Only IETF RFC 4293
9 C-VLAN component IEEE 802.1Q
10 S-VLAN component IEEE 802.1Q
11 Two-port MAC Relay component IEEE 802.1Q
12-16 reserved -
Example
System Capability Bit-map
16. • 서로 연결된 두 이더넷 노드(라우터/스위치/서버/PC등)간에 “링크속도”와 “전송방법(half or full duplex)”을 협
상
• 예: 10Mbps 장비와 10/100Mbps 장비가 auto-nego를 하면 10Mbps로 링크 설정
• 100Base-T(Fast Ethernet)에서 표준화 되었고, 10Base-T 및 1000Base-T(UTP로 연결)에서도 지원함
• 서로간 전기신호/펄스신호(FLP: Fast Link Pulse)를 통해 자신의 능력 정보를 실어 상대방에게 보냄
• Ethernet layer가 아닌 Physical layer에서 수행되는 기능
• Auto-nego는 구리선(copper wire)에서만 사용 가능하고, 광케이블(firber)에서는 적용이 안됨
• Auto-nego는 link 초기화 과정에서만 수행되지 동작 중에는 수행되지 않음
• Auto-nego의 기본 원리는 advertise
• 여러 가지 전송 방식 중에서 자신이 지원 가능한 방식을 서로 상대방에게 광고(advertise)하고 이들 중에서 가장 우
수한 방식(HCD, Highest Common Denominator)을 상호 채택.
• 초기에 케이블을 꽂으면 장비는 자신이 수행 가능한 통신 방식을 전송(광고)하고 상대방의 전송된 기능(광고)을 보
아 자신의 기능과 비교하여 가장 우수한 통신 방식을 두 장비 사이의 통신 방법으로 결정
• Auto-nego를 위해서는 케이블이 연결된 양쪽 장비 모두 auto-nego를 지원해야 함
• Auto-nego 실패 시에(한쪽 장비가 기능 미지원/disable) half-duplex로 연결됨
Auto Negotiation
16
19. • This is the specification that governs the physical connector on either end of an
Ethernet wire. This is what regulates that there are 8 Positions and 8 Contacts. It also
defines the design and dimensions of the clear plastic plug that terminates the cable
• Registered Jack standard number 45 specifies the amount of wires in the cable, the
order in which they appear, and the usage of the 8P8C physical connector.
• Specifically, RJ45 defines two wiring standards: T568a and T568b:
• 10/100Mbps Ethernet Copper cable에서는 Pair 2(pin 1 & 2)와 Pair 3(ping 3 & 6)만 사용
• 하나는 Tx용, 또 하나는 Rx용
• 1Gbps Ethernet Copper cable에서는 4개의 pair를 모두 사용함
8P8C and RJ45
19
10/100Base-T에서는 주황색과 초록색만 사용
20. • 송신용 (Tx): Pair 2 (Pin 1 & 2)
• 수신용 (Rx): Pair 3 (Pin 3 & 6)
• 수신용 (Rx): Pair 2 (Pin 1 & 2)
• 송신용 (Tx): Pair 3 (Pin 3 & 6)
• PC의 랜카드(NIC)는 MDI
• 직결시 Crossover 케이블 필요
• L2 스위치는 MDI-X
• 따라서 Straight through 케이블로 연결
• L2 스위치간 Crossover 케이블로 연결
• PC NIC과 동일하게 MDI
• L2 스위치와 라우터간 Straight through
케이블
• 라우터간은 Crossover 케이블
MDI & MDI-X
20
21. • 10/100/1000 Base-T 이더넷에서 UTP 케이블 연결 방식
• 양 쪽이 동일한 pin 번호를 갖도록 연결된 Straight Cable
• 2개의 pair 단위로 서로 꼬아서 연결해서 만든 Crossover Cable
• 때문에 어떤 케이블을 사용해야 하는지를 잘 모르는 경우가 발생하고 경우에 따라서는 통신이 잘 안 되는 경
우 발생
• 이러한 오류를 보완하기 위해서 Auto MDI/MDI-X 라는 기능이 스위치/라우터 장비 대부분이 지원
• Auto-Nego 동작 이전에 Cable의 종류를 사전에 detect하여 어떤 종류의 케이블을 사용하더라도 통신에 문제
가 생기지 않게 지원하는 기술
• 어떤 경우라도 한 쪽의 Tx는 다른 쪽의 Rx와 연결되어야 통신이 되는데 Tx끼리 연결되고, Rx끼리 연결되면 자
동으로 자신의 Tx와 Rx를 바꾸어 줌
• http://www.practicalnetworking.net/stand-alone/ethernet-wiring/
Auto MDI, Auto MDI-X
21
UTP Cable (Unshielded Twisted Pair) STP Cable (Shielded Twisted Pair)
23. • IP 패킷의 목적지 주소(Destination IP address) 기반으로 패킷을 전달하는 장비이며, 일반적으로 Router는
Ethernet 뿐만 아니라 SONET/SDH(POS), ATM, Serial 등과 같은 다양한 인터페이스(포트) 타입을 제공
• L3 장비라도 부름 (L3 = IP)
• Ethernet 패킷의 목적지 주소(Destination MAC address) 기반으로 패킷을 전달하는 장비이며, Ethernet이라는
하나의 포트 타입만 제공
• L2 장비라도 부름 (L2 = Ethernet)
• 수신된 Ethernet 패킷의 목적지 주소(Destination MAC address)에 따라 (1) IP 포워딩(Destination IP 주소 기반
으로 패킷 전달) 혹은 (2) Ethernet 스위칭(Destination MAC 주소 기반으로 패킷 전달)을 하는 장비이며
Ethernet이라는 하나의 포트 타입만 제공
• L2/L3 장비 혹은 Multi-Layer Switch라고도 부름 (L2 = Ethernet, L3 = IP).
Router, Ethernet Switch and L3 Switch
23
24. L3 Switch Architecture
24
ge1/4
ge1/3
ge1/2
ge1/1
FIB
Table
ARP
Table
Packet Processor
(Ingress Lookup/Egress Scheduling)
Ingress Packet
Buffer Egress
Packet Buffer ge2/4
ge2/3
ge2/2
ge2/1
FIB
Table
ARP
Table
Egress
Packet Buffer
Line Card #2
Ingress Packet
Buffer
Packet Processor
(Ingress Lookup/Egress Scheduling)
ARP Table
Control Module
RIB Table
OSPF Process
LSDB (Link-State Data Base)
Line Card #1
Switching
Fabric
Switching
Module
Switch Module
Control Module
Switch
Module
Control Module
Line Card Line Card
Cisco 7600 Router General L3 SW/Router Architecture
Line Card
Physical Port ge1/4
Port type: ge = Gigabit Ethernet
Line Card number: 1 = 1st Line Card in a Router
Port number: 4 = 4th Port in a Line Card
so, ge1/4 means “Gigabit Ethernet Port 4 in a Line Card 1”
MAC/VLAN Table
MAC/VLAN
Table
MAC/VLAN
Table
25. • 보통 Processing Power가 우수한 General CPU가 탑재
• CPU 위에 L2/L3 프로토콜이 올라가고, 해당 SW 모듈을 Cisco는 IOS, Juniper는 JUNOS라 부름
• L3(IP) 스위칭 테이블
• Routing Protocol(예: OSPF, IS-IS, BGP)은 인접 라우터/L3 SW와 라우팅 정보를 주고 받고, 그 결과를 RIB(Routing
Information Base)에 기록함
• 물리적 포트가 Ethernet인 경우 ARP Table 존재
• L2(Ethernet) 스위칭 테이블
• MAC Address Table, VLAN Table
• Cisco는 Supervisor Engine, Juniper는 Routing Engine이라 부름
• 다양한 물리적 포트(Fast Ethernet/100Mbps, Gigabit Ethernet/1Gbps, 10Gbps 등)를 지원
• 패킷을 처리하는 핵심 모듈인 Packet Processor(Network Processor or ASIC)를 중심으로
• 수신 패킷을 아주 잠시 저장하는 Ingress Packet Buffer
• 출력 포트로 패킷을 전달하기 전에 대기하는 장소인 Egress Packet Buffer 존재. Congestion 발생시(예. 1GE 포트로
1Gbps 이상의 패킷들이 나가려고 할 때) Scheduling Algorithm(예. SPQ, WFQ/DWRR)에 따라 우선 순위가 높은 패
킷은 빨리 나갈 것이고 그렇지 않은 패킷은 이곳에서 대기하면서 그 순서를 기다림
• 수신 패킷을 어느 포트로 보낼 지 결정하기 위해 참조하는 아래 테이블 존재
• L3 스위칭: FIB(Forwarding Information Base)/ARP Table
• L2 스위칭: MAC Address Table, VLAN Table
• Line Card간에 패킷 전달을 위한 가교 역할 수행. 예를 들어, 1번 Line Card로 수신된 패킷이 2번 Line Card를
통해 나가야 하는 경우 중간에 이 Switch Module을 통해 패킷이 전달
L3 Switch Architecture (cont)
25
46. 1. FIB lookup을 통해 Next Hop 주소(예: 20.1.1.1)와 OIF(예: VLAN = 30)를 알아내고
2. ARP Table lookup을 통해 Next Hop 주소(20.1.1.1)에 대한 MAC 주소(예: c1)를 알아내고 (만약 Next Hop이
없을 경우(L3 스위치와 바로 연결), Destination IP 주소(예: 100.1.1.1)에 대한 MAC 주소를 알아냄)
3. MAC Table lookup을 통해 MAC 주소(c1)에 대한 물리적 포트(예: ge3/1)를 알아냄 (이 물리적 포트는 OIF에
명시된 VLAN(30)에 속해 있는 포트임)
L2 Switching/IP Forwarding Summary
46
OIFDestination Network Next Hop
Line Card (LC): FIB
VLAN10
VLAN20
ge3/1
ge3/2
ge3/1
ge3/2
1.1.1.0/24
2.1.1.0/24
20.1.1.0/30
30.1.1.0/30
100.1.1.0/24
200.1.1.0/24
-
-
-
-
20.1.1.1
30.1.1.1
MAC Addr
LC: ARP Table
2.1.1.30 m3
VLAN MAC Addr
LC: MAC Table
Port
10
20
m1
m3
ge1/1
ge1/3
a1 m1 2.1.1.30 1.1.1.10
IP Addr
Incoming Packet
DIP
48. Introduction of VRRP (Virtual Router Redundancy Protocol)
48
Single Point of Failure To Avoid Single Point of Failure
• 데이터센터 내 PC/Server가 외부 Network과 연결되는 유일한
Gateway Router R1이 down 될 경우 Network에 접속불가
(Single Point of Failure) 서비스 단절
• 1단계, 이러한 Single Point of Failure를 막기 위해 Redundant
Router 도입
• 2단계, 두 개의 Default Gateway에 대한 Auto-Failover 기능을 수
행하는 VRRP* 기능 Enable
* VRRP는 LAN상에 존재하는 Router(VRRP Router)들 중 하나의
Virtual Router(Master)를 선정하는데 사용되는 표준 Protocol
Network
SW2
R1
Network
GW#2
Master Backup
1
2 3
R1 R2
SW1 SW1
4
SW2
Server#1 Server#2 Server#3 Server#4 Server#1 Server#2 Server#3 Server#4
VRRP
49. VRRP Terminology
49
VRRP Parameter 정리
• Default Router
• Priority
• VRRP router
• Master/Backup
• Virtual Router
• Virtual Router ID (VRID)
• Preempt Mode
Default Router: 내부에서 외부 network로 향하는 모든 PC/Server
traffic이 통과하는 관문(Gateway)
Priority: Master 선정 과정에 사용될 parameter값으로 큰 값이 우선
(0~255)
만약, Priority가 동일한 경우 highest primary IP 우선
0: Master 선정과정에 참여하지 않겠다 (Reserved 값으로 사용
할 수 없음)
Virtual Router: LAN Fail-Over 기능을 수행할 VRRP Router들의 모
임
Master: 현재 PC/Server들에 대해 default router로 동작중인
“Active Router”
Backup: 현재의 Master가 fail시 Master 기능을 수행 “Standby
Router”
Virtual Router ID(VRID): 인터페이스 별로 설정 가능한 Virtual
Router들의 인식번호 (1~255)
Preemption mode: “true” or “false” 값 부여. 현재 망에서 동작중
인 Master에게서 Master 권한을 뺏기 위해서는 Preempt가 true로
설정되어야 함.
Priority가 Master보다 큰 값을 가져도 Preempt가 false라면 현재의
Master로부터 Master 권한을 뺏지 못함
Network
Master
Priority=200
Backup
Priority=100
3
MAC Table(SW1) MAC Table(SW2)
IP = 80.1.1.1 IP = 80.1.1.2
ARP Table(#1~4)
R1 R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
GW#2
SW2
4
MAC Port
0000.5E00.0101 1
IP MAC
80.1.1.3 0000.5E00.0101
MAC Port
0000.5E00.0101 3
Data Packet
Server#1 Server#2 Server#3 Server#4
50. VRRP Scenario (1)
50
VRRP 구성
• R1, R2 및 Server/PC에 필요한 설정을 한다(오른쪽 참조)
• VRRP를 enable하면 R1과 R2 사이에 VRRP advertisement
packet을 주고 받게 되고, 이 둘 중 Priority 값이 높은 R1이
Master가 된다.
(VRRP advertisement packet format은 뒤에서 설명함)
* Virtual MAC : 00-00-5E-00-01-XX(XX: VRID)
Network
Master
Priority=200
Backup
Priority=100
3
MAC Table(SW1)
MAC Port
MAC Table(SW2)
MAC Port
IP = 80.1.1.1 IP = 80.1.1.2
ARP Table(#1~4)
IP MAC
R1 R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101*
2
1
GW#2
SW2
4
R2(config)#interface ge2.101
R2(config-if)# ip address 80.1.1.2/24
R2(config)# router vrrp 1 interface ge2.101
R2(config-router)# virtual-ip 80.1.1.3 backup
R2(config-router)# priority 100
R2(config-router)# preempt-mode true
R2(config-router)# advertisement-interval 2
R2(config-router)# enable
R1(config)#interface ge2.101
VRRP를 enable할 인터페이스로 들어간다
R1(config-if)# ip address 80.1.1.1/24
인터페이스에 ip를 설정한다
R1(config)# router vrrp 1 interface ge2.101
인터페이스를 VRRP Instance 1에 포함시킨다
R1(config-router)# virtual-ip 80.1.1.3 backup
Virtual-IP를 설정한다
R1(config-router)# priority 200 뒤에서 설명
R1(config-router)# preempt-mode true 뒤에서 설명
R1(config-router)# advertisement-interval 2
VRRP Hello 주기
R1(config-router)# enable
VRRP advertisement R1 설정
Server#1~4 설정
Server/PC 의 Default Gateway를 Virtual-IP(80.1.1.3)으로 설정한다
R2 설정
Server#1 Server#2 Server#3 Server#4
51. VRRP Scenario (2)
51
Master 선정 – VRRP Advertisement Packet 송신
• R1, R2는 상대방에게 VRRP advertisement packet을 송신하고,
priority가 큰 라우터(R1)이 Master가 됨
• 이후 Master는 설정된 advertisement-interval 주기 (본 자료
에서는 2초)로 VRRP advertisement packet을 Backup으로 송
신하여, 자신이 살아 있음을 알린다
• Virtual MAC : 00-00-5E-00-01-XX(XX: VRID)
Network
Master
Priority=200
Backup
Priority=100
3
MAC Table(SW1) MAC Table(SW2)
IP = 80.1.1.1 IP = 80.1.1.2
ARP Table(#1~4)
R1 R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
2
GW#2
SW2
4
MAC Port
0000.5E00.0101 1
IP MAC
80.1.1.3 0000.5E00.0101
MAC Port
0000.5E00.0101 3
VRRP advertisement VRRP Advertisement Packet Format (R1 à R2)
Destination MAC address
0100.5E00.0012 (Reserved MAC)
Source MAC address
0000.5E00.0101
Ethernet
Header
Ver
4
Identification
Total LengthTOS
IHL
5
Fragment Offset
TTL
255
Header Checksum
Protocol
112 (VRRP)
Source IP address
80.1.1.1
Destination IP address
224.0.0.18 (Reserved IP)
Authentication Data
0
IP Address
80.1.1.3
Auth Type*
No
Advertisement Interval
2
Checksum
Ver
2
Virtual RID
1
Priority
200
# of IP
1
Type
Advertise
Ether Type
0x0800 (IP)
IP
Header
VRRP
Payload
* Auth Type
- No: Not use Authentication
- S: Simple Text Password
- I: High Level Security (MD5)
If all VRRP fields are not matched,
discarded
Flag
Server#1 Server#2 Server#3 Server#4
52. VRRP Scenario (3)
52
Master 기능 – GARP Request Packet 송신
• Master는 Gratuitous ARP(GARP)를 보내어 L2 Switch의 MAC
Address Table과 Server의 ARP Table을 갱신시킨다.
Network
Master
Priority=200
Backup
Priority=100
3
MAC Table(SW1) MAC Table(SW2)
IP = 80.1.1.1 IP = 80.1.1.2
ARP Table(#1~4)
R1 R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
3
GW#2
SW2
4
GARP (Gratuitous ARP) Request
MAC Port
0000.5E00.0101 1
IP MAC
80.1.1.3 0000.5E00.0101
MAC Port
0000.5E00.0101 3
Gratuitous ARP Request Format
Destination MAC address
FFFF.FFFF.FFFF
Source MAC address
0000.5E00.0101
Operation (Request = 1)
Sender Ethernet address
0000.5E00.0101
Sender IP address
80.1.1.3
Target Ethernet address
0000.0000.0000
Target IP address
80.1.1.3
Ethernet
Header
ARP
Payload
Ether Type
0x0806
Server#1 Server#2 Server#3 Server#4
53. VRRP Scenario (4)
53
정상 Packet Forwarding 상태
• Server/PC 1~4가 Default Gateway 80.1.1.3으로 보내는 패킷
은 Switch의 MAC Address Table에 의해서 Master인 R1으로
가게 된다.
4
Network
Master
Priority=200
Backup
Priority=100
3
MAC Table(SW1) MAC Table(SW2)
IP = 80.1.1.1 IP = 80.1.1.2
ARP Table(#1~4)
R1 R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
GW#2
SW2
4
MAC Port
0000.5E00.0101 1
IP MAC
80.1.1.3 0000.5E00.0101
MAC Port
0000.5E00.0101 3
Data Packet
Server#1 Server#2 Server#3 Server#4
54. VRRP Scenario (5)
54
Master(R1) Fail시 Failover Failover후 Packet Forwarding
• R1에서 더 이상 VRRP packet을 보내지 않으면 R2는 일정시간
(Dead Timer: 보통 3 x advertisement-interval)후에 R1에
문제가 생겼음을 인지한다
• R2가 자신이 Master가 되었음을 알리기 위해 VRRP
advertisement packet과 GARP packet을 보내게 되고, 이에
따라 Switch는 MAC Address Table을 갱신하게 된다.
• Server/PC 1~4의 Default Gateway에 대한 ARP Table은 변경되지
않은 상태에서 L2 Switch의 MAC Address Table 변경으로 R2로 패
킷들이 전달된다.
5 6
Network
Master
Priority=100
3
MAC Table(SW1) MAC Table(SW2)
IP = 80.1.1.1 IP = 80.1.1.2
ARP Table(#1~4)
R1 R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
GW#2
SW2
4
MAC Port
0000.5E00.0101 2
IP MAC
80.1.1.3 0000.5E00.0101
MAC Port
0000.5E00.0101 4
VRRP advertisement
GARP (Gratuitous ARP) Request
변경 없음!!
Network
Master
Priority=100
3
MAC Table(SW1) MAC Table(SW2)
IP = 80.1.1.1 IP = 80.1.1.2
ARP Table(#1~4)
R1 R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
GW#2
SW2
4
MAC Port
0000.5E00.0101 2
IP MAC
80.1.1.3 0000.5E00.0101
MAC Port
0000.5E00.0101 4
변경 없음!!
Data Packet
Priority=200Priority=200
Server#1 Server#2 Server#3 Server#4 Server#1 Server#2 Server#3 Server#4
55. VRRP Scenario (6)
55
SW1 Fail시 Failover Failover후 Packet Forwarding
• SW1의 다운으로 인하여, SW1과 연결된 모든 포트가 down 된다.
이로 인해 R1의 VRRP instance는 disable되며, 또한
Server/PC의 Active bonding interface가 down상태로 됨과
동시에 backup interface가 active 상태로 된다.(점선-backup,
실선-active)
• VRRP advertisement를 수신하지 못한 R2는 자신이 Master가
되었음을 알리기 위해 VRRP advertisement packet과 GARP
packet을 보내게 되고, 이에 따라 Switch는 MAC Address
Table을 갱신하게 된다.
• Server/PC 1~4의 Default Gateway에 대한 ARP Table은 변경되지
않은 상태에서 L2 Switch의 Bridge Table 변경으로 R2로 패킷들이
전달된다.
7 8
Network
Master
Priority=100
3
MAC Table(SW2)
IP = 80.1.1.1 IP = 80.1.1.2
ARP Table(#1~4)
R1 R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
GW#2
SW2
4
IP MAC
80.1.1.3 0000.5E00.0101
MAC Port
0000.5E00.0101 4
VRRP advertisement
GARP (Gratuitous ARP) Request
변경 없음!!
Network
Master
Priority=100
3
MAC Table(SW2)
IP = 80.1.1.1 IP = 80.1.1.2
ARP Table(#1~4)
R1 R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
GW#2
SW2
4
IP MAC
80.1.1.3 0000.5E00.0101
MAC Port
0000.5E00.0101 4
변경 없음!!
Data Packet
Priority=200 Priority=200
Server#1 Server#2 Server#3 Server#4 Server#1 Server#2 Server#3 Server#4
56. VRRP Priority and Preemption
56
Master
Priority=200
Backup
Priority=100
3
IP = 80.1.1.1 IP = 80.1.1.2
R1 R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
GW#2
SW2
4
Master
Priority=100
1 2
Network
3
IP = 80.1.1.2
R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
GW#2
SW2
4
Network
Priority=200
IP = 80.1.1.1
R1
Master
Priority=100
3.1
3
IP = 80.1.1.2
R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
GW#2
SW2
4
Network
Priority=200
IP = 80.1.1.1
R1
Backup
Priority=100
3.2
3
IP = 80.1.1.2
R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
GW#2
SW2
4
Network
IP = 80.1.1.1
R1
Preemption=False
Preemption=True
Master
Priority=200
1.VRRP Priority가 큰 R1이 Master가 됨 (R1 priority=200, R2 priority=100)
2.R1 node fail을 감지한 R2(Dead Interval동안 VRRP advertisement 수신 못함)가 Master가 됨
3.[3.1] Preemption=False로 설정되어 있는 경우, Priority=200인 R1이 다시 살아나도 R2가
Mastership를 유지하게 됨
[3.2] Preemption=True로 설정되어 있는 경우, Priority=200인 R1이 다시 살아나면 R1이
Mastership을 R2로 부터 빼앗아 R1이 Master가 됨 (우선순위가 높은 라우터가 Master가 됨)
Server#1 Server#2 Server#3 Server#4 Server#1 Server#2 Server#3 Server#4
Server#1 Server#2 Server#3 Server#4
Server#1 Server#2 Server#3 Server#4
57. VRRP Operation
57
No Load-Sharing Load-Sharing
• R1이 정상 동작하는 한 R2는 사용되지 않는 상태로 있음
• Resource 낭비 초래
• Backup Router를 활용해 Load를 분산시킴
1) 두 개의 Virtual Router를 설정(VRID=1, VRID=2)
2) VRID=1에 대해서는 R1을 Master로 VRID=2에 대해서는 R2를
Master로 설정
• Server/PC 1,2는 Default Router로 R1을 사용, Server/PC 3,4는
R2 사용
• 이 때, R1(or R2) fail시 Backup Router가 해당 Virtual Router에
대해 Master로 동작함
Network
Master
Priority=200
Backup
Priority=100
3
MAC Table(SW1)
MAC Table(SW2)
IP = 80.1.1.1 IP = 80.1.1.2
ARP Table(#1~4)
R1 R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
GW#2
SW2
4
MAC Port
0000.5E00.0101 1
IP MAC
80.1.1.3 0000.5E00.0101
MAC Port
0000.5E00.0101 3
Data Packet
Network
Master for VRID=1
Backup for VRID=2
3
MAC Table(SW1) MAC Table(SW2)
IP = 80.1.1.1 IP = 80.1.1.2
R1 R2
1
SW1
VRRP VRID=1
IP: 80.1.1.3
MAC: 0000.5e00.0101
2
GW#2
SW2
4
Data Packet
ARP Table(#1/#2) ARP Table(#3/#4)
IP MAC
80.1.1.3 0000.5E00.0101
IP MAC
80.1.1.4 0000.5E00.0102
MAC Port
0000.5E00.0101 1
0000.5E00.0102 2
MAC Port
0000.5E00.0102 4
0000.5E00.0101 3
VRRP VRID=2
IP: 80.1.1.4
MAC: 0000.5e00.0102
Master for VRID=2
Backup for VRID=1
Server#1 Server#2 Server#3 Server#4 Server#1 Server#2 Server#3 Server#4
59. • Private Network에 위치하는 단말이 Public Network(인터넷)과 통신이 가능하도록 상호 간에 연결 시켜 주는
기능
• 즉, Private IP를 Public IP로 변환해 주는 기능
• LTE 망: LTE Core 망(P-GW) 상단에 대용량 NAT 장비 도입
• LSN(Large Scale NAT) 또는 CGN(Carrier Grade NAT)라 부름
• Wi-Fi Hotspot 망: Wi-Fi Hotspot용 AP에서 NAT 수행
• 댁내 망: 통신 사업자가 가입자 댁내에 공급(임대)한 유무선 공유기 혹은 Open Market의 유무선 공유기(예.
EFM의 ipTIME)에서 NAT 수행
• 단, 공유기 uplink는 public IP 주소 할당
• 사설 IP 주소를 가진 여러 단말들이 하나의 공인 IP 주소를 통해 인터넷과 연결됨으로써 공인 IP 주소 절약
• LTE 망에 LSN/CGN을 통해 외부에서 이동통신 단말 혹은 이동 통신망으로 향하는 공격을 차단
• 기업 역시 사내망을 사설 IP 주소화 하여 외부로 부터의 친입/공격을 차단할 수 있음 (방화벽의 개념)
Introduction of NAT
59
60. • TCP와 UDP 헤더에 Source & Destination Port를 총칭하여 TU Ports라고 부름 (혹은 Transport Identifier라고
도 함)
• 단말에서 서버로 전송되는 TCP/UDP 패킷에 TU Port는…
• TU Destination Port: 0 ~ 1023는 “Well Known Ports, which is defined by IANA” (단말이 source port로 사용하면
안됨)
• TU Source Port: OS 마다 서로 다른 범위(대략 30,000~60,000)의 값 중에 하나를 random하게 사용. 이를
Ephemeral Port라고 함 (http://en.wikipedia.org/wiki/Ephemeral_port)
• IANA(Internet Assigned Numbers Authority) 기관에서 할당 받은 Globally Unique한 IP 주소를 가진 네트워크
를 말하며 따라서 이 네트워크는 전세계 통신 사업자 망을 통해 라우팅(통신)이 가능
• IANA에서 할당 받지 않은 IP 주소를 가진 네트워크를 말하며 인터넷에서 라우팅 될 수 없음 (사설망)
• IANA에서 정의한 사설 IP 주소: 10.0.0/8, 172.16.0.0/12, 192.168.0.0/16
• NAT에 의해 변환(translation)되는 트래픽의 단위를 Session으로 정의하고 있는데(A session is defined as the
set of traffic that is managed as a unit for translation), 쉽게 말해 TCP/UDP Session은 {source IP address,
source TU port, destination IP address, destination TU port}로 구분되는 것을 말함
• 응용에 따라 Payload(TCP/UDP 헤더 이후에 나오는 데이터)에 IP address 나 TU port 정보가 실리는 경우 있음
• ALG란 응용 별로 Payload 내의 IP address or/and TU port 정보를 변환(translation) 해 줄 수 있는 기능(agent)
이 NAT 장비에 올라가 있는 경우(Application awareness inside the NAT)
• 세상에 수많은 응용을 다 지원하기는 역부족이므로 NAT가 ALG를 지원하는건 비현실적
NAT Terminology
60
61. NAT Type
61
Basic NAT NAPT (Network Address Translation)
Definition • Private IP 주소를 가지는 단말 개수 만큼 Public IP
주소를 가지고 인터넷과 연결됨
• Public IP 주소 절약을 목적으로, Private IP 주소를
가지는 여러대의 단말이 하나의 Public IP 주소를
통해 인터넷과 연결되는 방식
Address Translation • 1:1 translation (1 = Public IP, 1 = Private IP) • 1:N translation (1 = Public IP, N = Private IP)
Mapping Outbound Traffic (단말 à 인터넷)
• {Private Source IP} à {Public Source IP}
Inbound Traffic (인터넷 à 단말)
• {Public Destination IP} à {Private Destination IP}
Outbound Traffic (단말 à 인터넷)
• {Private Source IP, Local TU Source Port} à
{Public Source IP, Registered TU Source Port}
Inbound Traffic (인터넷 à 단말)
• {Public Destination IP, Registered TU Destination
Port} à {Private Destination IP, Local TU
Destination Port}
Packet Modification Outbound Traffic
• Source IP, IP Header Checksum
Inbound Traffic
• Destination IP, IP Header Checksum
Outbound Traffic
• Source IP, IP Header Checksum
• TU Source Port, TCP/UDP Header Checksum
Inbound Traffic
• Destination IP, IP Header Checksum
• TU Destination Port, TCP/UDP Header Checksum
Deployment • 기업망에서 보안 목적(방화벽)으로 사용 가능 • LTE, Wi-Fi hotspot, 댁내 공유기
Note • 현재 모든 NAT 장비(공유기, 전용장비 등)는 NAPT
를 지원
62. Basic NAT
62
NAT
Basic NAT
10.1.1.1 1.1.1.1 2.2.2.2
Server 1 Server 2Client 1
10.1.1.2
Client 2
10.1.1.99
Client 99
Private/Local Network
...
Public/Global/External Network
1.1.1.18010.1.1.1 1.1.1.180
Internet
5.5.5.1
10.1.1.1 1.1.1.1 80
2.2.2.2808010.1.1.1 2.2.2.28080
2.2.2.2 8080
5.5.5.1
5.5.5.110.1.1.1 2.2.2.2 8080
5000 5000
5000
5001 5001
5001 5001
1.1.1.1 805.5.5.1 5000
1.1.1.18010.1.1.2 1.1.1.1805.5.5.2
10.1.1.2 1.1.1.1 80
5003 5003
5003 1.1.1.1 805.5.5.2 5003
2.2.2.2808010.1.1.99 2.2.2.280805.5.5.99
10.1.1.99 2.2.2.2 8080
6000 6000
6000 2.2.2.2 80805.5.5.99 6000
Outbound Traffic
Inbound Traffic
a
b
c
External Address Range : 5.5.5.1 ~ 5.5.5.99
10.1.1.1 5.5.5.1 120s
IP IP
NAT Inside NAT Outside Binding
Lifetime
Translation {5.5.5.1} to {10.1.1.1}
10.1.1.1 5.5.5.1 120s
IP IP
NAT Inside NAT Outside Binding
Lifetime
Address Binding & Translation {10.1.1.1} to {5.5.5.1}
Outbound Traffic
Inbound Traffic
NAT Inside NAT Outside
Destination IP
1.1.1.18010.1.1.15000
Destination TU Port
Source IP
Source TU Port
Source TU Port
1.1.1.1 8010.1.1.1 5000
Source IP
Destination TU Port
Destination IP
10.1.1.1 5.5.5.1
10.1.1.2 5.5.5.2
10.1.1.99 5.5.5.99
120s
120s
120s
Binding Entry Creation at a
Binding Entry Creation at b
Binding Entry Creation at c
IP IP
NAT Inside NAT Outside Binding
Lifetime
Basic NAT: NAT Binding Table
1. Address Binding
Private IP Address를 가진 단말이 보낸 Outbound
Traffic에 대해 Basic NAT 장비가 {Private IP Address}에
대한 {Public IP Address}를 결정하고(1:1 mapping) NAT
Binding Table에 세션 엔트리 생성
2. Address Lookup and Translation
• 이후 Outbound 방향으로(단말에서 NAT 장비로) 패
킷이 수신되면 NAT Binding Table을 참조하여
{Private Source IP Address}를 {Public Source IP
Address}로 변환하여 인터넷으로 전송
• Inbound 방향으로(인터넷에서 NAT 장비로) 패킷 수
신 시 NAT Binding Table을 참조하여 {Public
Destination IP Address}를 단말의 IP 즉, {Private
Destination IP Address}로 변환하여 단말로 전송
3. Address Unbinding
NAT Binding Table의 해당 엔트리에 대해 일정 시간
(NAT 장비마다 다름)동안 패킷이 흐르지 않으면 세션
엔트리를 삭제
63. NAPT (Network Address Port Translation)
63
b
NAT
NAPT
10.1.1.1 1.1.1.1 2.2.2.2
Server 1 Server 2Client 1
10.1.1.2
Client 2
10.1.1.99
Client 99
Private/Local Network
...
Public/Global/External Network
1.1.1.18010.1.1.1 1.1.1.180
Internet
5.5.5.1
10.1.1.1 1.1.1.1 80
2.2.2.2808010.1.1.1 2.2.2.28080
2.2.2.2 8080
5.5.5.1
5.5.5.110.1.1.1 2.2.2.2 8080
1.1.1.1 805.5.5.1
1.1.1.18010.1.1.2 1.1.1.1805.5.5.1
10.1.1.2 1.1.1.1 80 1.1.1.1 805.5.5.1
2.2.2.2808010.1.1.99 2.2.2.280805.5.5.1
10.1.1.99 2.2.2.2 8080 2.2.2.2 80805.5.5.1
Outbound Traffic
Inbound Traffic
a
c
d
External Address : 5.5.5.1
1000
1000
1001
1001
1002
1002
1003
1003
5000
5000
5001
5001
5003
5003
6000
6000
10.1.1.1 120s
IP
NAT Inside Binding
Lifetime
5000
Port
5.5.5.1
IP
NAT Outside
1000
Port
Translation {5.5.5.1, 1000} to {10.1.1.1, 5000}
10.1.1.1 120s
IP
NAT Inside Binding
Lifetime
5000
Port
5.5.5.1
IP
NAT Outside
1000
Port
Address Binding &
Translation {10.1.1.1, 5000} to {5.5.5.1, 1000}
Outbound Traffic
Inbound Traffic
NAT Inside NAT Outside
10.1.1.1
10.1.1.1
10.1.1.2
120s
120s
120s
Binding Entry Creation at a
Binding Entry Creation at b
Binding Entry Creation at c
IP
NAT Inside Binding
Lifetime
5000
5001
5003
Port
10.1.1.99 6000
5.5.5.1
5.5.5.1
5.5.5.1
IP
NAT Outside
1000
1001
1002
Port
5.5.5.1 1003 120s Binding Entry Creation at d
NAPT: NAT Binding Table
1. Address Binding
Private IP Address를 가진 단말이 보낸 Outbound
Traffic에 대해 NAPT 장비가 Private IP Address와
TU Source Port에 대한 Public IP Address 및 TU
Source Port를 결정하고(1:N mapping) NAT
Binding Table에 세션 엔트리 생성
2. Address Lookup and Translation
• 이후 Outbound 방향으로(단말에서 NAT 장비로)
패킷이 수신되면 NAT Binding Table을 참조하여
{Private Source IP Address, Local TU Source
Port}를 {Public Source IP Address, Registered
TU Source Port}로 변환하여 인터넷으로 전송
(Registered란 NAT 장비가 할당한 Port 값을 의
미함. Local TU Source Port를 Internal Port,
Registered TU Source Port를 External Port라고
도 부름)
• Inbound 방향으로(인터넷에서 NAT 장비로) 패킷
수신 시 NAT Binding Table을 참조하여 {Public
Destination IP Address, Registered TU
Destination Port}를 단말의 IP 및 Port 정보 즉,
{Private Destination IP Address, Local TU
Destination Port}로 변환하여 단말로 전송
3. Address Unbinding
NAT Binding Table의 해당 엔트리에 대해 일정 시
간(NAT 장비마다 다름)동안 패킷이 흐르지 않으면
세션 엔트리를 삭제
65. System Auto Restart
65
• CPU load가 continues time(1~3600초) 동안 CPU load low
usage(%)를 넘으면 로그 기록, CPU load high usage(%)를 넘으면
시스템 리부팅
• [at reset]은 HH:MM 방식이며, 미설정시 상기 조건 만족하면 바로
리부팅, 설정시 지정 시각에 리부팅
• Memory 사용량이 continues time(1~3600초) 동안 memory low
usage(%)를 넘으면 로그 기록, memory high usage(%)를 넘으면
시스템 리부팅
• [at reset]은 HH:MM 방식이며, 미설정시 상기 조건 만족하면 바로
리부팅, 설정시 지정 시각에 리부팅
• Control Plane에서 동작하는 주요 프로세스의 이상(생존) 여부를
monitoring interval(2~60초) 간격으로 확인하여, 이상 발생 시 로
그 기록 및 시스템 리부팅
• [at reset]은 HH:MM 방식이며, 미설정시 상기 조건 만족하면 바로
리부팅, 설정시 지정 시각에 리부팅
66. System Auto Restart (cont)
66
• 하루 동안 자동 재부팅이 threshold of reset-count(1~100)
횟수만큼 실행 되었을때, 더 이상 자동 재부팅 방지
• 정해진 시각(년/월/일/시/분)에 자동 재부팅
• L2 SW가 특정 GW(라우터) target IP A.B.C.D로 ping request
interval(1~60초) 마다 ping request count(1~60) 개수의 ping 패
킷을 보내고, 이에 대해 응답이 하나도 없을때 로그 기록 및 시스템
리부팅
• [at reset]은 HH:MM 방식이며, 미설정시 상기 조건 만족하면 바로
리부팅, 설정시 지정 시각에 리부팅
68. • 단말(SSH client)에서 L2 SW(SSH server)로 접속 (장비 설정/상태 확인 via CLI)
• L2 SW(SSH client)가 SSH server에 접속
SSH (Secure Shell)
68
69. • 802.1x 인증 방식은 EAP-MD5, EAP-TLS, EPS-TTLS 등이 존재함
• EAP-MD5: 사용자 ID/PW를 이용하여 인증 (단방향 인증)
• EAP-TLS/TTLS: 서버와 사용자 인증서로 상호 인증
• Wi-Fi에서 널리 이용되고 있는 인증 방식임
802.1x Port Authentication
69
70. 802.1x Port Authentication (cont)
70
• 통신할 RADIUS 서버의 ip-address와 key (L2 SW와
RADIUS server가 동일 secret key를 가져야 통신 가
능)
• 보통 RADIUS는 UDP port=1812를 사용하지만, 보안
이유로 다른 포트 사용시 auth_port port-number로
지정
72. Admin Login Authentication (cont)
72
• radius: RADIUS 서버를 통해 로그인 인증
• tacacs: TACACS 서버를 통해 로그인 인증
• host: 장비에 등록된 ID/PW를 통해 로그인 인증
• 통신할 RADIUS 서버의 ip-address와 key (RADIUS
client 즉, L2 SW와 RADIUS server가 동일 secret key
를 가져야 통신 가능)
• 보통 RADIUS는 UDP port=1812를 사용하지만, 보안
이유로 다른 포트 사용시 auth_port port-number로
지정
• 통신할 TACACS 서버의 ip-address와 key (TACACS
client 즉, L2 SW와 TACACS server가 동일 secret key
를 가져야 통신 가능)
• 보통 TACACS는 UDP port=49를 사용하지만, 보안 이
유로 다른 포트 사용시 socket-port port-number로
지정
76. • Monitor 포트는 오직 한 개만 지정할 수 있고,
Mirrored 포트는 하나 이상 지정할 수 있음
Port Mirroring
76
• Mirrored 포트 지정 시, Ingress or Egress를 지정
가능. 또는 미입력시 Ingress + Egress
78. System Environment (cont)
78
• Telnet, SSH, FTP, Ping 명령어를 사용할 때 IP 주
소 대신 호스트 네임을 입력하여 각각의 기능을
수행
• FAN 동작이 auto인 경우, start-temperature(-
30 °C~100°C) 이상에서 FAN 동작, stop-
temperature(-30°C~100°C)에서 동작 멈춤
80. System Check (cont)
80
• 아래 scope로 MAC 주소 확인 가능
• 장비 전체
• 특정 VLAN
• 특정 VLAN + 특정 Port
• time: 10초 ~ 21,474,830초(248일)
• default time: 30초
• 초당 CPU로 올라오는 패킷 개수를 제한
• 장비간 케이블 길이를 포트별로 확인
• 8P8C/RJ45 타입의 Category 5 UTP 케이블에서
만 확인 가능 (광케이블은 확인 불가)
81. • L2 SW의 SNMP Agent와 SNMP Server(NMS/EMS)간 프로토콜로, 중앙에 SNMP Sever에서 모든 L2 SW의 상
태를 관리함 (주로 통신사업자망에 적용)
• SNMP 서버는 표준화된 MIB(Management Information Base)을 기반으로 SNMP Agent와 통신하여 다음 동작
을 수행
• SNMP GET: SNMP 서버에서 L2 장비의 상태 정보 READ
• SNMP SET: SNMP 서버에서 L2 장비의 설정 정보 WRITE
• SNMP TRAP: L2 장비에서 네트워크 이벤트 (예: 잘못된 사용자 인증, 시스템 이상/리부팅 등)를 SNMP 서버로 알림
• SNMP 프로토콜 버전: SNMP v1, v2c, v3 (버전이 올라가면서 보안 강화)
Network Management: SNMP
81
For example, interfaces would be 1.3.6.1.2.1.2
MIB Tree
Data Plane
Control Plane
Management
Plane
Control Point (CPU)
Network Device
(NP, ASIC)
82. • RMON은 RMON Agent(L2 SW)와 RMON Manager간의 통신을 통해 네트워크을 통해 오가는 트래픽을 분석
하고 감시
• SNMP는 네트워크 장비를 관리하는 반면, RMON은 네트워크 트래픽을 모니터링함
• 예: Network에 어떤 protocol/application data가 얼마큼 돌아다니나?
• RMON MIB (RFC 2819) – 아래 중 다산SW는 Statistics, History, Alarm, Event를 지원
• Statistics: real-time LAN statistics e.g. utilization, collisions, CRC errors
• History: history of selected statistics
• Alarm: definitions for RMON SNMP traps to be sent when statistics exceed defined thresholds
• Hosts: host specific LAN statistics e.g. bytes sent/received, frames sent/received
• Hosts top N: record of N most active connections over a given time period
• Matrix: the sent-received traffic matrix between systems
• Filter: defines packet data patterns of interest e.g. MAC address or TCP port
• Capture: collect and forward packets matching the Filter
• Event: send alerts (SNMP traps) for the Alarm group
• RMON2 MIB (RFC 4502)
• Protocol Directory: list of protocols the probe can monitor
• Protocol Distribution: traffic statistics for each protocol
• Address Map: maps network-layer (IP) to MAC-layer addresses
• Network-Layer Host: layer 3 traffic statistics, per each host
• Network-Layer Matrix: layer 3 traffic statistics, per source/destination pairs of hosts
• Application-Layer Host: traffic statistics by application protocol, per host
• Application-Layer Matrix: traffic statistics by application protocol, per source/destination pairs of hosts
• User History: periodic samples of user-specified variables
• Probe Configuration: remote configure of probes
• RMON Conformance: requirements for RMON2 MIB conformance
Network Management: RMON
82
83. • 장비 내부에서 저장 및 화면(CLI)에 출력되는 로그(로그 내용은 비표준)를 서버로 전송하여 중앙에서 저장/관
리할 수 있게 함
• 특정 이벤트가 발생하는 시점들을 관리할 수도 있고, 시스템/네트워크에 문제가 발생했을 때 원인을 분석하는
디버깅 용도로 사용됨
Network Management: Syslog
83
87. QoS: Flow and Class
87
• flow 이름(flow-name)에 대한 classification rule
을 정의함
• 하나의 flow이름에 여러 개의 classification rule
정의 가능
• 여러 개의 flow를 하나의 class-name으로 묶어
이후 QoS 설정에서 사용 à 관리/설정 간편 목적
88. QoS: Policer (Rate-Limit)
88
• CIR, PIR: Kbps 단위이며 64의 배수로 설정
• CBS, PBS: Byte 단위
• 각 color(green, yellow, red)에 대한 DSCP 마킹값
정의
• yellow, red 패킷에 대한 drop 여부 정의
89. QoS: Policy (Rule)
89
• 해당 Policy 내에서 앞 슬라이드에서 설명한
flow-name 또는 class-name을 policy-name과
매핑함 (어떤 flow를 어떤 policer를 통해 처리할
것인가?를 정의)
• Rule (Policy) 이름 정의
90. QoS: Policy (Rule) (cont)
90
• Scheduler는 해당 패킷의 CoS 값을 보고 Queue
에 매핑을 하며,
• overwrite변수 포함시에는 외부로 패킷이 나갈
때 802.1p(PCP) 필드가 마킹되고, 미포함시에는
마킹되지 않음
• 앞서 정의한 Rule은 특정 포트 또는 모든 포트,
특정 VLAN 또는 모든 VLAN으로 부터 수신되는
패킷에 적용함
91. QoS: Scheduling
91
• queue-number: 0 ~ 3
• weight-value: 1 ~ 255
• SPQ와 WRR 혼용 가능
• queue-number: 0 ~ 3
• quantum-value: 1 ~ 255
• SPQ와 DRR 혼용 가능
• 특정 Flow/Class에 대한 queue mapping 설정이 없
는 것으로 보아, CoS 값에 대한 Queue 매핑이 고정
되어 있을 것으로 예상
• 예: {Q1 = CoS 0, 1}, {Q2 = CoS 2, 3}, …
93. MAC Address Management
93
• 먼저 포트별 설정을 한 후
• deny: 모든 패킷 폐기
• permit: 모든 패킷 허용
• MAC 주소별로 permit/deny 정의
• Port별 System별 MAC 개수 제한을 모두 설정하
면 이 중 하나에 걸려도 MAC learning하지 않음
• bridge-name = VLAN ID
• max-mac-number 이상의 이용자 패킷은 폐기
94. 1. ARP ACL을 통한 방법
2. DHCP snoop을 통한 방법
ARP Inspection
94
95. ARP Inspection (cont)
95
• trust port: ARP Inspection 미수행
• untrust port: ARP Inspection 수행
아래 옵션을 중복 선택 가능
• src-mac: Check if SA(이더넷해더)=Sender-MAC (ARP메시지)
• dst-mac: Check if DA(이더넷해더)=Target-MAC (ARP메시지)
• ip: ARP 메시지의 Sender IP 혹은 Target IP가 다음 조
건이면 폐기
• 0.0.0.0
• 255.255.255.255
• Multicast IP
96. DHCP Snooping
96
• DHCP 서버 응답 메시지 (DHCP Offer, Ack)를 허
용할 포트 지정
• CPU 과부하 방지를 목적으로 포트별 초당 DHCP
패킷 개수 제한
• DHCP를 통해 할당받은 IP주소와 MAC에 대해서
만 ARP Request/Reply허용
97. DHCP Snooping (cont)
97
• DHCP로 할당된 IP 주소 패킷만 허용
• DHCP로 할당된 IP 주소를 가진 단말(MAC)만 허
용 (즉, MAC 주소도 함께 확인)
• 서버로부터 IP 주소를 할당 받지 않아서 DHCP
Snooping 바인딩 테이블에는 등록되어 있지 않
지만, 관리자가 포워딩 시키고자 하는 DHCP 패킷
을 Static으로 등록
98. PPS Control
98
• 특정 포트에 대해 초당 수신되는 패킷양(Packet
Per Second)를 설정 (5 , 60, 600)
• 임계치 초과시 얼마시간 동안(10초 ~ 3600초) 해
당 포트를 차단(blocking)할 것인지 결정
• block timer 미설정시, 임계치 초과 발생하면
syslog 및 trap 발생
99. Rate Limit & Flood Guard
99
• rate: 64Kbps의 배수
• Ingress에서 rate limit로 패킷 폐기 발생시에는
802.3x PAUSE 프레임 송신
• packet-num: 1 ~ 6,000 패킷
• 초당 패킷 개수 <1 ~ 2,147,483,647> 초과시 해
당 포트를 block함
• 그리고 <10초 ~ 3600초> 후에 block 해제
• 초당 브로드캐스팅 패킷 전송율을 제한함
• rate: 1 ~ 262,142bps in FE port,
1 ~ 2,097,150bps in GE port
100. Port Traffic Monitoring
100
• traffic-threshold: 1Mbps ~ 1Gbps
• expire-time: 평균 트래픽양 산출을 위한 모니터
링 기간 (10분 ~ 24시간)
• trap-interval: trap 메시지 발생 간격. 한번 trap
메시지가 발생하면, 이 시간이 지난 후에 다시 트
래픽 양 모니터링을 함 (10분 ~ 24시간)
• ingress, egress 혹은 ingress + egress에 대해
모니터링 선택 가능
101. MTU and Jumbo Frame
101
DAMAC SAMAC EType Payload (IP, ARP, etc) CRC
MTU = 1500B