Layer 2 정리

L2 기능 IEEE에서 정의한 3 가지 종류의 스패닝 트리 프로토콜이 있다 802.1d 스패닝 트리 프로토콜(Spanning Tree Protocol)는 스위치 네트워크에서 이중성(redundancy)를 유지하면서 프레임 루프를 방지해주는 프로토콜이다. 복수개의 경로가 있는 경우, STP를 설정하면 다음과 같은 알고리듬에 의해 선정된 포트를 차단하여 루프를 방지하는 기능이다. STP가 사용하는 스패닝 트리 알고리듬의 내용은 다음과 같다. 1. 전체 스위치 중에서 루트(root) 스위치를 선택한다. 2. 루트 스위치가 아닌 모든 스위치에서 루트 포트를 하나씩 선택한다. 3. 한 스위치 세그먼트(segment)당 지정(designated) 포트를 하나씩 선택한다. 4. 루트 포트도 지정 포트도 아닌 포트를 대체 포트(alternate port)라고 한다. 대체 포트는 항상 차단된다. 802.1w RSTP(Rapid Spanning Tree Protocol) RSTP(Rapid Spanning Tree Protocol)는 IEEE 802.1w에 정의된 프로토콜이며, STP(802.1D)의 단점인 컨버전스 시간(convergence time)을 획기적으로 단축시켜 준다. 컨버전스 시간이란 네트워크 상태가 변화 되었을 때 이것을 반영하여 포트의 역할과 상태가 변경 되기까지의 시간을 말한다. STP의 컨버전스 시간이 경우에 따라 30초 또는 50초인 반면 RSTP는 경우에 따라 1초 이내 또는 길어야 몇 초 이내이다. RSTP에서 루트 스위치를 선택하고, 루트 포트와 지정 포트를 결정하여 활성 토폴로지를 구성하는 방식은 STP와 동일하다. 즉, 브리지 ID가 가장 낮은 스위치가 루트 스위치가 되고, 포트 역할을 결정할 때 BPDU내의 루트 브리지 ID, 경로 값, 브리지 ID, 포트 ID를 차례로 비교하여 각 값이 낮은 포트가 루트 포트와 지정 포트로 선택된다. 802.1s MSTP(multiple Spanning Tree Protocol) MSTP(multiple Spanning Tree Protocol)는 IEEE 802.1s에 정의된 프로토콜이며, 복수개의 VLAN을 하나의 그룹으로 묶어 스패팅 트리를 동작시킨다. MSTP에서는 인스턴스(instance)라고 하는 VLAN 그룹당 하나의 스패닝 트리가 동작하므로 많은 수의 스패닝 트리를 계산할 필요가 없어 스위치의 부하를 줄인다. 예를 들어, 2000개의 VLAN을 사용하는 네트워크에서 PVST를 사용하면 스위칭들이 2000개의 스패닝 트리를 계산해야 한다. 그러나, MSTP를 사용하여 2000개의 VLAN을 2개의 그룹으로 나눈다면 스패닝 트리는 2개만 사용하면 된다. 뿐만 아니라 MSTP가 동작하면 BPDU 전송량도 획기적으로 줄어든다. 이처럼 MSTP를 사용하여 스패닝 트리의 수를 줄일 수 있는 것은 대부분의 스위치 네트워크에서 로드 밸런싱시킬 수 있는 경로 수만큼의 스패닝 트리만 필요하기 때문이다. Port mirroring 포트 미러링은 특정 포트 또는 여러 개의 포트에서 들어오고 나가는 패킷을 복사해서 패킷을 분석하는 네트워크 트래픽 모니터링 기능이다. 스니퍼나 프로토콜 애널라이저 같은 모니터링 툴을 목적지 포트(destination port) 달아서 소스 포트를 지나가는 패킷들을 자세히 관찰할 수 있다. GVRP(Group VLAN Registration Protocol) 양 스위치간에 GVRP를 설정하면 상대방의 VLAN ID를 서로 알게 된다. 스위치 A와 스위치 B에 VLAN ID 1,2,3 이 있고, 스위치 B에 VLAN ID 4,5,6 있다. 스위치 A의 GVRP로 정적 VLAN ID 1,2,3과 동적 VLAN ID 4,5,6를 기록하고 스위치 B는 그 반대로 VLAN 정보를 알게 된다. 즉, GVRP를 통해서 다른 스위치의 VLAN 정보를 서로 알게 된다. 시스코의 VTP(VLAN Trunking Protocol)과 비슷한 프로토콜이다. VLAN 불필요한 브로드캐스트 트래픽을 차단하고, 네트워크의 보안성 강화를 위하여 대부분의 LAN에서 VLAN은 필수적이다. 하나의 링크에 서로 다른 VLAN에 소속된 프레임을 전송하기 위하여 트렁킹 프로토콜을 사용한다. VLAN(Virtual LAN)이란 논리적으로 분할된 스위치 네트워크를 말한다. VLAN을 설정하지 않은 스위치 네트워크에서는 한 포트에서 발생한 브로드캐스트가 동일 스위치뿐만 아니라 다른 스위치로도 전송된다. 802.1Q 트렁킹 802.1Q 트렁킹은 IEEE 802.1Q에서 정의된 표준 트렁킹 프로토콜이다. 이 방식은 원래의 이더넷 프레임의 발신지 주소 다음에 4바이트 길이의 802.1Q 태그를 추가하여 VLAN 번호와 기타 정보를 표시한다. 트렁킹 프로토콜은 같은 VLAN에 속한 사용자가 물리적으로 다른 스위치에 있는 경우 사용하는 프로토콜이다. 목적지 주소 출발지 주소 802.1Q 태그 길이/타입 데이터 FCS || 이더타입 (16bits) 우선순위 (3 bits) CFI(1bit) VLAN 번호(12bits) Access Control Lists ACL은 스위치를 들어오고 나가는 트래픽을 필터링하는 도구이다. ACL을 사용하여 트래픽을 필터할 때, 정책에 따라 패킷을 허용할 것인지 차단할 것인지를 결정한다. 사용되는 정책에는 다음과 같은 것이 있다. 출발지 또는 목적지 주소 Layer 2 프로토콜 정보: Ethernet Frame Layer 3 프로토콜: IP, IPX, AppleTalk Layer 3 프로토콜 information: IP, ICMP, OSPF, TCP, UDP Layer 4 프로토콜: TCP, UDP 포트 번호 일반적으로, ACL은 L3와 L4 정보를 필터하지만, L2 정보도 필터할 수 있다. 또한 ACL은 트래픽 흐름에 대한 기본 보안 기능을 제공하며 주로 다른 장비가 특정 서비스와 특정 장비, 또는 네트워크의 특정 부분에 에 접속하는 것을 막을 수 있다. 표준 액세스 리스트(numbered standard access list)는 1-99, 1300-1999 사이의 번호를 사용하며, 출발지 IP 주소만으로 판단한다. 확장 액세스 리스트(extended access list)는 표준 액세스 리스트에서 사용되는 출발지 주소외에 목적지 IP 주소, 출발지/목적지 포트 번호까지를 확인할 수 있다 QoS(Quality of Service) 패킷의 지연(latency), 지연편차(jitter)및 패킷 손실율(packet loss ratio)을 조절하여 원하는 수준의 서비스를 유지시켜 주는 기술을 말한다. QoS는 주로 VoIP나 화상통신 등 지연이나 패킷 손실에 민감한 애플리케이션에서 많이 요구된다. 즉, 트래픽을 구분하여 혼잡발생시 특정 트래픽을 다른 트래픽보다 더 빨리 전송하고, 손실도 적게 일어나게 하는 것을 QoS라고 한다. 아래 기준에 따라 QoS을 설정할 수 있다. Priority Queues Number Based on Port Based on MAC DA/SA 802.1p Based on TOS DSCP Based on Protocol Type Based on IP DA/SA Bandwidth Control 포트별로 송,수신 트래픽의 양을 지정할 수 있다. Traffic Segmentation 트래픽 분할은 단일 포트에서 싱글 스위치 또는 다른 스위치의 포트 그룹으로 트래픽 흐름을 제한하는데 사용된다. 이렇게 트래픽 흐름을 분할하는 방법은 VLAN을 사용해서 트래픽을 제한하는 것과 비슷하지만 좀 더 엄격하다. 이 트래픽 분할 방법은 스위치 CPU의 오버헤드를 증가시키지 않고 트래픽의 방향을 결정한다. 802.3ad 링크 애그리게이션(Link Aggregation) 링크 애그리게이션(Link Aggregation)은 여러 개의 물리적인 포트를 모아서 고속으로 데이터를 처리할 수 있는 한 개의 논리적인 포트처럼 만드는 것이다. 링크 애그리게이션에 속하는 포트들을 링크 애그리게이션 그룹이라고 부르고 한 포트를 지정해서 그 그룹의 마스트 포트로 간주한다. 그룹의 모든 포트는 같은 VLAN에 속해야 하고, STP 상태, 스태틱 멀티 캐스트, 트래픽 콘트롤, 트래픽 세그먼테이션, 802.1p default priority 설정 등이 모두 동일해야 한다. 포트 잠금, 포트 미러링, 802.1x 기능이 트렁크 그룹에 설정되어서는 안 된다. Aggregated link는 모드 같은 속도여야 하고 풀 두플렉스로 설정되어야 한다. 그룹의 마스터 포트는 사용자에 의해 설정되며 VLAN 설정 등을 포함하는 모든 설정 옵션은 마스터 포트에 적용되며 이것은 전체 링크 애그리게이션 그룹에 적용된다. 로드 밸런싱은 자동으로 aggregated 그룹에 속한 포트에 적용되고, 그룹 내부의 한 링크에 장애가 생기면 그 그룹 안에 있는 다른 링크로 트래픽을 보내기 때문에 링크 사용률을 높이고 링크 성능을 향상시킨다. 포트 보안(Port Security) 스위치 포트에 접속을 허용하는 컴퓨터나 서버의 MAC 주소를 확인하고 MAC 주소의 수에 한계를 두는 것으로 인터페이스의 입력을 제한하기 위해 포트 보안 기능을 사용한다. 또, 스위치의 특정 포트에 특정 MAC 주소를 가진 장비만 접속 하도록 한다. 특정 MAC 주소는 관리자가 미리 지정할 수 도 있고, 스위치 로직에 의해 동적으로 지정하게 할 수도 있다. 점보 프레임(Jumbo Frame) 이더넷의 표준 크기는 1518byte이다. 이 표준 크기보다 더 큰 프레임을 점보 프레임이라고 한다. 점보 프레임을 설정하여 MTU(Maximum Transmission Unit) 크기를 늘일 수 있고, 최대 9K(9004 bytes)까지 전송할 수 있다. 기가비트 스위치에서 지원된다. IGMP 스누핑(snooping) L2 스위치에서 멀티캐스트 트래픽을 제한하기 위하여 IGMP snooping을 사용한다. 멀티캐스트 트래픽을 IP 멀티캐스트 장비와 관련된 인터페이스로만 포워드 하는 기능이다. LAN 스위치는 호스트와 라우터 사이에서 IGMP 전송을 스눕(snoop) 위해서 이 기능을 사용하고 멀티캐스트 그룹과 멤버 포트를 계속적으로 확인하기 위해서 이 기능을 사용한다. 스위치가 호스트로부터 IGMP Leave Group 메시지를 받을 때, 테이블 엔터리에서 호스트 포트를 제거한다. 멀티캐스트 클라이언트로부터 IGMP 멤버십 리포트를 받지 못할 때도 주기적으로 엔터리를 제거한다.