Одноадресный наводнение

В компьютерных сетях , одноадресный потоп , когда коммутатор получает одноадресный кадр и рассматривает его как широковещательный кадр, заливая кадр на все остальные порты коммутатора.

Фон [ править ]

Термин одноадресная передача относится к одноадресной передаче из одной точки сети в другую. Обычно одноадресная рассылка считается более безопасной, потому что кадр доставляется только предполагаемому получателю, а не нескольким хостам. Эта диаграмма иллюстрирует одноадресную передачу кадра от одного сетевого хоста к другому:

Когда коммутатор получает одноадресный кадр с адресом назначения, отсутствующим в таблице пересылки коммутатора , этот кадр обрабатывается как широковещательный кадр и отправляется на все хосты в сети:

Причины [ править ]

Процесс обучения прозрачному мосту требует, чтобы коммутатор получил кадр от устройства, прежде чем одноадресные кадры могут быть перенаправлены на него. Перед получением любой такой передачи используется одноадресная лавинная рассылка, чтобы гарантировать, что передача достигнет намеченного пункта назначения. Обычно это недолговечное состояние, поскольку получение обычно дает ответ, который завершает процесс обучения. Этот процесс происходит, когда устройство изначально подключено к сети, перемещается с одного порта на другой или после 5 минут бездействия ^{[ необходима ссылка ],} когда устройство обычно удаляется из таблицы пересылки.

Коммутатор, в адресном кэше которого не осталось места, рассылает фрейм всем портам. Это обычная проблема в сетях с большим количеством хостов. Менее распространено искусственное заполнение адресных таблиц - это называется лавинной рассылкой MAC .

Другой распространенной причиной являются узлы с таймерами ARP, превышающими тайм-аут адресного кеша на коммутаторах - коммутатор забывает, какой порт подключается к узлу. ^[1] Чтобы избежать этого, необходимо настроить коммутатор с тайм-аутом MAC-адреса, превышающим тайм-аут ARP. Например, установите тайм-аут MAC на 360 секунд и тайм-аут ARP на 300 секунд.

Устройства, отличные от коммутаторов, также могут создавать одноадресные лавинные рассылки. Маршрутизатор, который имеет интерфейс моста, но не имеет адреса кадра назначения в кэше моста, рассылает этот кадр всем членам моста. ^[2]

Неверно сконфигурированные функции сетей также могут привести к одноадресной рассылке. Если есть два слой 2 пути от узла A к B и узел A использует путь 1 , чтобы поговорить с хостом B, но Хост B использует путь 2 , чтобы ответить на хост A, а затем промежуточные переключатели на пути-никогда не узнать назначение MAC - адрес из Хост B и промежуточные коммутаторы на пути 2 никогда не узнают MAC-адрес назначения хоста A. ^[3]

Конечной причиной одноадресных наводнений являются изменения топологии. Когда состояние канала изменяется на сетевом порту, который участвует в быстром связующем дереве , адресный кеш на этом коммутаторе будет очищен, в результате чего все последующие кадры будут вытеснены из всех портов до тех пор, пока адреса не будут изучены коммутатором.^[4]

Средства правовой защиты [ править ]

Блокировать одноадресную лавинную рассылку на коммутаторе Cisco легко, но по умолчанию она не включена. После проверки того, что тайм-ауты и / или функции безопасности были настроены для сохранения записей таблицы на портах клиентского доступа дольше, чем типичные тайм-ауты кэша ARP хоста , эта команда используется для подавления одноадресной лавинной рассылки на этих портах: ^[5]

Switch (config-if) # одноадресный блок switchport

Другие методы включают изоляцию хостов на уровне 2, который блокирует связь внутри локальной сети, не предназначенную для определенных узлов, предоставляющих общую услугу (например, маршрутизатора). Удобным инструментом для этого являются защищенные порты (порты, которым запрещено связываться с другими защищенными портами), доступные в коммутаторах более низкого уровня: ^[6]

Switch (config-if) # switchport защищен

Более надежным решением с перекрестным переключением, чем «защищенный порт коммутатора», является использование частных VLAN . ^[7]

Чтобы заблокировать лавинную рассылку на машине с Linux, достаточно современной, чтобы на ней был установлен iproute2 , вы можете контролировать лавинную рассылку в мосте устройств, запустив мостовую ссылку set dev phy6 flood off . Чтобы установить тайм-аут MAC больше, чем тайм-аут ARP, можно выполнить следующие команды:

brctl setageing br0 330; эхо 300> / proc / sys / net / ipv4 / neigh / br0 / gc_stale_time

Большинство современных коммутаторов - высокого и низкого уровня - поддерживают защиту от переполнения.

Влияние на сети [ править ]

Когда в сети происходит лавинная рассылка одноадресной рассылки, производительность сети снижается. Вот график моста до и после настройки размера адресного кеша моста: ^[2]

80% кадров были переданы лавинной рассылкой и никогда не были получены адресом назначения, в то время как 20% были действительным трафиком. В сетях с большим объемом трафика лавинный трафик может вызвать насыщение портов и привести к потере пакетов и высокой задержке.

Еще один побочный эффект исчерпанных адресных таблиц - компрометация данных. Соображения безопасности обсуждаются в лавинной рассылке MAC - одной из нескольких причин одноадресной лавинной рассылки. Если конечный пользователь запускает анализатор пакетов , лавинные кадры могут быть захвачены и просмотрены.

См. Также [ править ]

Широковещательный, неизвестный одноадресный и многоадресный трафик

Ссылки [ править ]

^ Стивен Кинг (2009-06-17). «Одноадресное наводнение» . Проверено 27 января 2012 . CS1 maint: discouraged parameter (link)
^ ^a ^b Руди Ракер (27 января 2012 г.). «Исправление одноадресного флуда» . Проверено 8 марта 2021 . CS1 maint: discouraged parameter (link)
^ «Устранение асимметричной пересылки и одноадресного наводнения» . Cisco Systems Inc . Проверено 27 января 2012 . CS1 maint: discouraged parameter (link)
^ Баладжи Sivasubramanian (2004-09-10). «Устранение неполадок при одноадресной рассылке из-за топологии» . Cisco Press . Проверено 27 января 2012 . CS1 maint: discouraged parameter (link)
^ Джереми Стретч (2010-06-04). «Блокирование неизвестного одноадресного флуда» . PacketLife.net . Проверено 27 января 2012 . CS1 maint: discouraged parameter (link)
^ Петр Lapukhov (2008-07-14). «Пересмотр частных VLAN» . Проверено 7 апреля 2012 . CS1 maint: discouraged parameter (link)
^ «Настройка частных VLAN» . Cisco . Проверено 7 апреля 2012 . CS1 maint: discouraged parameter (link)

[1] Стивен Кинг (2009-06-17). «Одноадресное наводнение» . Проверено 27 января 2012 . CS1 maint: discouraged parameter (link)

[forum-2] Руди Ракер (27 января 2012 г.). «Исправление одноадресного флуда» . Проверено 8 марта 2021 . CS1 maint: discouraged parameter (link)

[3] «Устранение асимметричной пересылки и одноадресного наводнения» . Cisco Systems Inc . Проверено 27 января 2012 . CS1 maint: discouraged parameter (link)

[4] Баладжи Sivasubramanian (2004-09-10). «Устранение неполадок при одноадресной рассылке из-за топологии» . Cisco Press . Проверено 27 января 2012 . CS1 maint: discouraged parameter (link)

[5] Джереми Стретч (2010-06-04). «Блокирование неизвестного одноадресного флуда» . PacketLife.net . Проверено 27 января 2012 . CS1 maint: discouraged parameter (link)

[6] Петр Lapukhov (2008-07-14). «Пересмотр частных VLAN» . Проверено 7 апреля 2012 . CS1 maint: discouraged parameter (link)

[7] «Настройка частных VLAN» . Cisco . Проверено 7 апреля 2012 . CS1 maint: discouraged parameter (link)

[1]