LAN의중심스위치이야기

Download Report

Transcript LAN의중심스위치이야기 

LAN의 중심 스위치 이야기
목차
1.
2.
3.
4.
허브와 스위치
계층에 따라 스위치 구분하기
스위치의 몇몇 기능 이해하기
스위치 여러대 연결하기
2
Network
허브와 스위치

네트워크 장비를 연결해 주는 허브
• 허브(Hub)?
네트워크에 존재하는 컴퓨터와 장비들을 연결해 주는 장비
수십 수백 포트의
스위치
4포트 허브
3
Network
허브의 구조와 동작 원리

네트워크 에서의 허브와 스위치 구성
인터넷
라우터
허브/스위치
허브/스위치
4
Network
허브의 구조와 동작 원리

허브의 동작 원리
• 허브는 기본적으로 프레임이 입력된 포트를 제외하고 모든 포트로 프레임을 내보내게 됨.
• 아래의 그림에서는 3번 포트로 입력된 프레임이 3번을 제외한 1,2,4 번으로 모두 나가고 있음을 나타냄.
출발지 : C의 MAC
목적지 : A의 MAC
내부버스
1
2
3
4
입력된 패킷의 목적지 MAC 이
자신이 아니므로 B와 C는
버려버림
A
B
C
D
5
Network
스위치의 구조와 동작 원리

스위치의 구조
• 연결된 물리적 포트 내부에 그물망 같은 엇갈린 길이 논리적으로 존재
스위칭 구조
(Switching Fabric)
1
A
2
B
3
C
4
D
6
Network
스위치의 구조와 동작 원리

실제 스위치 구조
• 스위칭 구조의 Fabric 은 “직물, 편물”의 뜻을 가지고 있음.
• 보통 스위치를 나사를 풀고 내부를 보게 되면 Chip 형태가 대부분임.
• 주요 업체는 마벨(http://www.marvell.com/) 이나 브로드 컴 (http://www.broadcom.com/) 임.
스위칭 칩(Chip)
1
A
2
B
3
C
4
D
7
Network
스위치의 구조와 동작 원리

스위치의 동작 원리
• 스위치는 기본적으로 스위치가 가지고 있는 정보 (어떤 포트에 어떤 MAC 이 존재하는지)에 따라 동작
• 이 동작 과정은 이후에 스위치 STP(Spanning Tree Protocol) 를 이해하는데 중요한 요소임.
스위치가 가지고 있는 정보
PORT
MAC
1
A의 MAC
2
B의 MAC
3
C의 MAC
4
D의 MAC
1
2
3
4
출발지 : A의 MAC
목적지 : C의 MAC
A
B
C
D
8
Network
스위치의 구조와 동작 원리

MAC 정보를 배우는 Learning 과정
• 스위치가 처음부터 연결된 모든 컴퓨터의 MAC 을 알고 있는 것은 아니며 Learning 이라는 과정을
습득하게 됨.
• MAC 정보가 없어 여러포트로 다 보내는 경우는 “Flooding”이라는 용어를 사용
2. 스위치의 MAC 정보 확인, 없으면 허브 처럼 2,3,4 번으
로 프레임 전송과 동시에 컴퓨터 A 의 MAC 정보 기록
PORT
1
1. 프레임 입력
출발지 : 00:06:C4:00:01:A1
목적지 : 00:E0:00:BA:67:57
1
A
00:06:C4:00:01:A1
B
00:08:32:00:12:21
MAC
00:06:C4:00:01:A1
2
3
4
C
D
00:E0:00:BA:67:57
9
00:C0:02:DB:5F:4C
Network
스위치의 구조와 동작 원리

MAC 정보에 따라 전달하는 Forwarding 과정
• 해당되는 MAC 정보가 있을 경우 스위치는 해당되는 포트로만 보내는 “Forwarding”을 하게 됨.
2. 스위치의 MAC 정보 확인하여 1번 포트로만 프레임
전송, 전송과 동시에 컴퓨터 C 의 MAC 정보 기록
PORT
MAC
1
00:06:C4:00:01:A1
3
00:E0:00:BA:67:57
1
2
3
4
1. 프레임 입력
출발지 : 00:E0:00:BA:67:57
목적지 : 00:06:C4:00:01:A1
A
00:06:C4:00:01:A1
B
00:08:32:00:12:21
C
00:E0:00:BA:67:57
D
10
00:C0:02:DB:5F:4C
Network
스위치의 구조와 동작 원리

Learning 된 정보에 따라서 필요시 Filtering
2. 목적지인 컴퓨터 A의 MAC 은 입력된 이미
1번 포트에서 Learning이 된것이므로 Filtering
되어 버린다. 다만 Learning 작업은 계속되어 컴
퓨터 E의 MAC 정보가 갱신된다.
PORT
MAC
1
00:06:C4:00:01:A1
3
00:E0:00:BA:67:57
1
00:0A:E1:00:10:C3  새로이 갱신
1. 프레임 전송
출발지 : 00:0A:E1:00:10:C3
목적지 : 00:06:C4:00:01:A1
00:0A:E1:00:10:C3
E
허브
1
A
00:06:C4:00:01:A1
B
00:08:32:00:12:21
2
3
스위치
4
C
11
00:E0:00:BA:67:57
D
00:C0:02:DB:5F:4C
Network
계층에 따라 스위치 구분하기

스위치를 구분할때는 사용되는 계층
HTTP, SMTP,
POP3, FTP,
Telnet….
응용 계층(Layer 7)
표현 계층(Layer 6)
TCP, UDP
IP, IPX, Appletalk
MAC
응용 계층
세션 계층(Layer 5)
전송 계층(Layer 4)
전송 계층
네트워크 계층(Layer 3)
인터넷 계층
데이터링크 계층(Layer 2)
네트워크 접근 계층
물리 계층(Layer 1)
OSI 참조모델
TCP/IP 프로토콜
12
Network
Layer 2 스위치

MAC 정보를 기반으로 하는 Layer 2 스위치
2. 목적지 MAC 주소는 ?
출발지 MAC 주소는?
MAC 정보가 있나?
어떤 포트로 보내야 하나?
1.트래픽 입력
출발지 : 00:06:C4:00:01:A1
목적지 : 00:E0:00:BA:67:57
Layer 2 스위치
13
Network
Layer 3 스위치

3계층의 IP, IPX, Appletalk 정보를 기반으로 하는 Layer 3 스위치
2. 목적지 IP 주소는 ?
라우팅 정보가 있나?
어디로 보내야 하지?
1. 트래픽 입력
출발지 : 192.168.1.5
목적지 : 10.10.10.100
Layer 3 스위치
14
Network
Layer 4 스위치

4계층의 TCP/UDP Port 정보를 기반으로 하는 Layer 4 스위치
2. 어떤 서버로 보낼것인가?
해당하는 정보가 있는가?
서버는 살아 있는가?
1. 트래픽 입력
출발지 : 192.168.1.5:1723
목적지 : 10.10.10.100:80
Layer 4 스위치
서버 1
10.10.10.1:80
15
서버 2
10.10.10.2:80
서버 3
10.10.10.3:80
Network
Layer 7 스위치

5~7계층의 응용계층의 프로토콜 정보를 기반으로 하는 Layer 7 스위치
2. 어떤 서버로 보낼것인가?
해당하는 정보가 있는가?
서버는 살아 있는가?
1. 트래픽 입력
출발지 : 192.168.1.5:1723
목적지 : 10.10.10.100:80/images/1.gif
Layer 7 스위치
정적 컨텐츠 서버들
*.gif, *.html, *.jpg등
16
동적 컨텐츠 서버들
*.cgi, *.perl, *.jsp
, %%%%%
Network
Layer 7 스위치

보안 역할로서의 Layer 7 스위치
2. DoS Attack 방어,
HTTP, SMTP 헤더에 있는
Nimda, Codered 성 패킷 차단
Layer 7 스위치
1. 트래픽 입력
출발지 : 192.168.1.5:1723
목적지 : 10.10.10.100:80/root.exe?
서버들 1
서버들 2
17
Network
스위치의 몇몇 기능 이해하기
1.802.1q의 가상랜
2.802.3ad의
Link Aggregation
3.802.1d의
스패닝 프로토콜
4.포트미러링
18
Network
802.1q의 가상랜

불필요한 패킷이 전달되는 전체 네트워크
• 특별한 조치가 없는 네트워크에서는 네트워크의 모든 트래픽이 네트워크에 전달되어 불필요한 패킷이
네트워크를 차지하게 된다. 규모가 커질수록 많은 양을 차지하게 됨.
재무관리팀
스위치
기술팀
연구소
영업팀
192.168.0.1
192.168.0.1 의 MAC 이 뭐
19
지요?
Network
802.1q의 가상랜

불필요한 트래픽 전달을 막아주는 가상랜(VLAN)
• 불필요한 패킷 전달이 필요없는 단위로 네트워크를 논리적으로 구분하여 효율적인 네트워크를
구별하는 것.
VLAN 1
- Port 1~2
재무관리팀
VLAN 2
- Port 3~8
VLAN 3
- Port 9~14
스위치
기술팀
192.168.0.1
VLAN 4
- Port 15~16
연구소
영업팀
192.168.0.1 의 MAC 이 뭐
20
지요?
Network
802.1q의 가상랜

보안적인 측면에서의 VLAN
• VLAN 이 없는 구성에서는 일반적으로 특별한 방법이 없이도 네트워크에서 많은 컴퓨터들로 접근이
가능해 진다.
21
Network
802.1q의 가상랜

보안적인 측면에서의 VLAN
• 부정한 접근(?) 또는 의도하지 않은 접근(?) 의 문제가 발생
스위치
생활기록부 서버
(학생성적, 각종 평가 내용)
학생
선생님
기말고사 시험문제등
각종 자료
22
Network
802.1q의 가상랜

보안적인 측면에서의 VLAN
• VLAN 을 이용하여 부정한 접근(?) 또는 의도하지 않은 접근(?) 의 문제를 해결 할수 있음.
VLAN 2(선생님)
- Port 9~16
VLAN 1(학생)
- 1~8
스위치
학생
선생님
23
Network
802.1q의 가상랜

VLAN 의 종류
포트 기반의
VLAN
물리적인 포트를 기준으로 구분
서브넷 기반의
VLAN
프로토콜 기반의
VLAN
IP, IPX, Appletalk 등을 기준으로 구분
IP의 서브넷 대역을 기준으로 구분
* 기타 : 장비들이 가지고 있는 MAC을 일일이 등록하는 MA 기반의 VLAN도 있음.
24
Network
802.1q의 가상랜

동일 VLAN 이 다른 스위치에 존재할때
VLAN 마다 직접 연결?
스위치 2
스위치 1
학생
선생님
학생
25
선생님
Network
802.1q의 가상랜

하나의 연결에 VLAN 정보를 실어 보내는 802.1q VLAN Tagging
하나의 연결에 VLAN
정보를 실어보냄.
스위치 1
스위치 2
VLAN ID = 2
학생
VLAN 2
선생님
VLAN 3
학생
VLAN 2
26
선생님
VLAN 3
Network
802.1q의 가상랜

꼬리표(Tagging)를 붙이는 두가지 방법
일반적인 이더넷 프레임
6
6
목적지 주소
출발지 주소
2
46~1500
4
프레임체크섬
(FCS)
데이터
길이/타입
802.1q 꼬리표 붙은 프레임
6
6
목적지 주소
출발지 주소
4
2
46~1500
4
프레임체크섬
(FCS)
데이터
VLAN정보 길이/타입
시스코의 ISL 헤더가 붙은 프레임
26
64~1518
ISL 헤더
원래의 이더넷 프레임
27
4
프레임체크섬
(FCS)
Network
802.1q의 가상랜

다른 네트워크와 통신을 하게 해주는 라우터
192.168.1.x/24 -> 192.168.1.1
192.168.2.x/24 -> 192.168.2.1
192.168.3.x/24 -> 192.168.3.1
라우터
와 같이 각 네트워크에 대한
정보를 가지고 있는 라우터
Port 1 - 192.168.1.1
Port 2 - 192.168.2.1
Port 3 - 192.168.3.1
스위치
Default
VLAN 1
192.168.1.0/24
학생
VLAN 2
192.168.2.0/24
선생님
VLAN 3
192.168.3.0/24
28
Network
802.1q의 가상랜

Layer 3 라우팅 기능을 이용한 VLAN간의 통신
192.168.1.x/24 -> 192.168.1.1
192.168.2.x/24 -> 192.168.2.1
192.168.3.x/24 -> 192.168.3.1
와 같이 각 네트워크에 대한
정보를 가지고 있는 스위치
VLAN 1 - 192.168.1.1
VLAN 2 - 192.168.2.1
VLAN 3 - 192.168.3.1
Default
VLAN 1
192.168.1.0/24
Layer 3 스위치
학생
VLAN 2
192.168.2.0/24
선생님
VLAN 3
192.168.3.0/24
29
Network
802.1q의 가상랜

실제 스위치에서의 Layer 3 기능을 이용한 통신
각 VLAN 에 IP 설정하기
3개의 VLAN이 각각
가지고 있는 IP 네트
크
30
Network
802.3ad의 Link Aggregation

일반적인 스위치에서의 스위치간의 연결
100Base-TX 포트
스위치 1
Category 5
UTP 케이블
단방향 최대 100Mbps
스위치 2
100Base-TX 포트
31
Network
802.3ad의 Link Aggregation

포트를 두개 이상을 동시에 사용하여 포트 사용량을 높힘
스위치 1
스위치 1
X
장애
단방향 최대 200Mbps
스위치 2
스위치 2
X
32
Network
802.3ad의 Link Aggregation

Link Aggregation 에 대한 업체들 마다 다른 용어
스위치 1
포트 트렁킹
(3COM, 노텔, 알카텔, 파운드리등)
이더채널
(시스코등)
스위치 2
로드 쉐어링
(익스트림등)
33
Network
802.3ad의 Link Aggregation

실제 네트워크에서 Link Aggregation 의 예
포트 그룹 2
포트 9, 10, 11, 12
포트 그룹 1
포트 1, 2
스위치 1
포트 그룹 1
포트 1, 2, 3, 4
포트 그룹 1
포트 1, 2
스위치 2
스위치 3
34
Network
802.1d의 스패닝 트리 프로토콜

잘못하면 뺑뺑이가 되는 스위치
달 컴퓨터 (192.168.0.1, 00:06:C4:00:00:01)
스위치 1
1 2 34
8
스위치 2
1 2 34
8
마토 컴퓨터 (192.168.0.2, 00:06:C4:00:00:02)
35
Network
802.1d의 스패닝 트리 프로토콜

뺑뺑이를 막아주는 스패닝 트리 프로토콜
달 컴퓨터
스위치 1의 BPDU
Root ID : 80:00:00:06:C4:00:00:01
Root Path Cost : 0
Bridge ID : 80:00:00:06:C4:00:00:01
1 2 34
1 2 34
스위치 1
00:06:C4:00:00:01
스위치 2
00:06:C4:00:00:02
8
8
스위치 2의 BPDU
Root ID : 80:00:00:06:C4:00:00:02
Root Path Cost : 0
Bridge ID : 80:00:00:06:C4:00:00:02
마토 컴퓨터
36
Network
802.1d의 스패닝 트리 프로토콜

스패닝 트리 프로토콜에서 주고 받는 BP여 구성요소
구
분
Root ID
(8바이트)
Root Path Cost
(4바이트)
내 용
스위치들중에서 먼저 Root(중심) 가 될 스위치의 ID로 처음에는 스위치가 부팅되면 처음에는
자기 자신을 나타냄
Root ID는 2바이트의 중요도+스위치의 MAC 으로 구성
예 - 80:00:00:06:C4:20:02:02
Root 스위치 까지 가는 경로의 값
Bridge ID
(8바이트)
BDPU를 보내는 스위치의 ID, Bridge ID도
2바이트의 중요도(Priority)+8 바이트 스위치 MAC으로 구성
예 - 80:00:00:06:C4:20:02:02
Port ID
(1바이트)
BPDU를 보낸 스위치의 Port ID로서 포트 중요도(0~255)와 포트 번호. 포트 중요도는 기본값
128로 16진수 80 으로 표시하여 1번 포트는 8001 이 됨.
Max Age
(2바이트)
Root 스위치로부터 BPDU를 받지 못했을때 죽었다고 판단하는 시간 (기본 20초)
Hello Time
(2바이트)
Forward Delay
(2바이트)
몇초마다 BPDU를 보낼것인지의 간격 (기본 2초)
스패닝 트리의 각 과정에서 소요되는 시간 (기본 15초)
37
Network
802.1d의 스패닝 트리 프로토콜

Cost 는 같지만 Port ID 때문에 포트 2가 Blocking
달 컴퓨터
Root 스위치 (브리지)
1 2 34
스위치 1
00:06:C4:00:00:01
스위치 2
00:06:C4:00:00:02
8
Port ID : 8001
Cost : 19
Port ID : 8002
Cost : 19
1 2 34
Blocking
8
마토 컴퓨터
38
Network
802.1d의 스패닝 트리 프로토콜

스패닝 트리 Cost 값
대역폭
스패닝 트리 Cost 값
4 Mbps
250
10 Mbps
100
16 Mbps
62
45 Mbps
39
100 Mbps
19
155 Mbps
14
622 Mbps
6
1 Gbps
4
10 Gbps
2
39
Network
802.1d의 스패닝 트리 프로토콜

스패닝 트리에 의한 포트 변화
포트가 연결이 되면 BPDU 만 보내고
받고 데이터를 포워딩 하지 않는다.
1. Listening
15초 (Forward Delay)
20초 (Max Age)
BPDU 를 주고 주고 받으며, MAC 정보
를 업데이트까지 한다. 그렇지만 트래
픽 전송은 하지 않는다.
4. Blocking
오로지 BPDU 만 수신한다.
2. Learning
15초 (Forward Delay)
3. Forwarding
40
정상적인 통신 상태
Network
모니터리을 위한 포트 미러링

포트 미러링을 통한 트래픽 복사
인터넷
라우터
스위치
스위치를 사용하면 스위치에서
특정포트의 트래픽을 모니터링
장비로 보내주어야만 한다.
예) 미러링 5 -> 4
모니터링 장비
(패킷 분석기, 침입탐지시스템, 로그분석기등)
41
Network
스위치 여러대 연결하기

UTP 하나로 연결하기
라우터
스위치 1
UTP 크로스 케이블
(100Mbps)
최대 거리는 100m
스위치 2
스위치 3
42
Network
스위치 여러대 연결하기

포트 트렁킹과 광 케이블
라우터
스위치 1
광 케이블
(1Gbps)
최대 거리는 수백m~수Km
스위치 2
스위치 3
43
Network
스위치 여러대 연결하기

포트 트렁킹과 광 케이블
라우터
스위치 1
UTP 포트 트렁킹
(200Mbps)
최대 거리는 100m
스위치 2
스위치 3
44
Network
스위치 여러대 연결하기

포트가 많은 모듈형 스위치
알카텔의 Omni 시리즈
파운드리의 BigIron 시리즈
시스코의 Catalyst 시리즈
45
Network
스위치 여러대 연결하기

스태킹 스위치 (점점 사라지는 추세)
고속의 스카시 케이블로 연
결한 스위치
46
Network
마치며

꼭 기억해야 할 것들
LAN 의 중심 스위치 이야기
허브는 리피터 처럼 단순하게 동작
스위치는 조금 복잡하게 동작 : Learning, Forwarding, Flooding, Filtering
스위치는 내부의 스위치 패브릭에서 포트당 대역폭을 할당한다.
네트워크에서 L2/L3 스위치 그리고 이제는 L4/L7 스위치까지도 알아야 한다.
물리적인 스위치를 논리적으로 여러대의 스위치로 구분하는 가상 랜 (VLAN)
여러 개의 포트를 동시에 사용하여 대역폭을 확장하는 Link Aggregation
네트워크 뺑뺑이를 막아주는 스패닝 트리 프로토콜(Spanning Tree Protocol)
47
Network