غمر Unicast في شبكات مجمع محول

خيارات التنزيل

  • PDF     (291.1 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٨ فبراير ٢٠١٦
معرّف المستند:23563

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يناقش هذا المستند الأسباب والتأثيرات المحتملة لتفييض حزمة البث الأحادي في الشبكات المحولة.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

تعريف المشكلة

تستخدم محولات LAN جداول إعادة التوجيه (جداول الطبقة 2 (L2)، وجداول الذاكرة القابلة للتوجيه إلى المحتوى (CAM) لتوجيه حركة المرور إلى منافذ معينة استنادا إلى رقم شبكة VLAN وعنوان MAC الوجهة للإطار. عندما لا يوجد مدخل يماثل الإطار غاية {upper}mac address في القادم VLAN، ال (unicast) إطار سيتم أرسلت إلى كل forwarding ميناء ضمن ال VLAN شخصي، أي يسبب يفيض.

يعد التدفق المحدود جزءا من عملية التحويل العادية. ومع ذلك، هناك حالات يمكن أن يتسبب فيها الفيضانات المستمرة في حدوث تأثيرات ضارة على الأداء على الشبكة. يشرح هذا المستند المشاكل التي يمكن أن تنشأ بسبب الفيضانات، والأسباب الأكثر شيوعا وراء إغراق حركة مرور معينة بشكل مستمر.

لاحظ أن معظم المحولات الحديثة بما في ذلك Catalyst 2900 XL و 3500 XL و 2940 و 2950 و 2970 و 3550 و 3750 و 4500/4000 و 5000 و 6500/6000 sery تحافظ على جداول إعادة توجيه L2 لكل شبكة محلية ظاهرية (VLAN).

أسباب الفيضانات

السبب عينه من يفيض أن غاية {upper}mac address من الربط ليس في ال L2 forwarding طاولة من المفتاح. في هذه الحالة، فضت الربط من كل forwarding ميناء في VLAN ه (ماعدا الميناء هو إستلمت على). تعرض دراسات الحالة أدناه معظم الأسباب الشائعة لعدم معرفة المحول بعنوان MAC للوجهة.

السبب 1: التوجيه غير المتماثل

كما يمكن أن تتسبب الكميات الكبيرة من حركة المرور المتدفقة إلى التشبع للروابط ذات النطاق الترددي المنخفض مما يؤدي إلى حدوث مشكلات في أداء الشبكة أو انقطاع كامل في الاتصال بالأجهزة المتصلة عبر هذه الارتباطات ذات النطاق الترددي المنخفض. تأمل في الرسم التخطيطي التالي:

في المخطط أعلاه، يقوم الخادم S1 في شبكة VLAN رقم 1 بتشغيل النسخ الاحتياطي (نقل البيانات المجمعة) إلى الخادم S2 في شبكة VLAN رقم 2. يحتوي الخادم S1 على العبارة الافتراضية التي تشير إلى واجهة VLAN 1 الخاصة بالموجه A. يحتوي الخادم S2 على العبارة الافتراضية التي تشير إلى واجهة VLAN 2 الخاصة بالموجه B. ستتبع الحزم من S1 إلى S2 هذا المسار:

  • S1—VLAN 1—switch A-router A—VLAN 2—switch B-VLAN 2—S2 (الخط الأزرق)

تنتقل الحزم من S2 إلى S1 عبر المسار التالي:

  • S2—VLAN 2—المحول B—Router B—VLAN 1—المحول A—تم تدفقها إلى الشبكة المحلية الظاهرية (VLAN) رقم 1—S1 (الخط الأحمر)

لاحظ أنه مع هذا الترتيب، لن "يرى" المفتاح A حركة مرور من S2 عنوان MAC في VLAN 2 (بما أن المصدر {upper}mac address سيتم إعادة كتابته بواسطة المسحاج تخديد B وأن الحزمة ستصل فقط إلى VLAN 1). هذا يعني أن كل وقت يحتاج مفتاح A أن يرسل الربط إلى S2 {upper}mac address، الربط سيتم فضت إلى VLAN 2. سيحدث نفس الحالة مع S1 MAC عنوان على المحول (ب).

يسمى هذا السلوك التوجيه غير المتماثل. تتبع الحزم مسارات مختلفة حسب الإتجاه. ويعد التوجيه غير المتماثل أحد الأسباب الأكثر شيوعا للفيضانات.

تأثير غمر Unicast

ارجع إلى المثال أعلاه، والنتيجة هي أن حزم نقل البيانات بين S1 و S2 ستتم غالبا فضت إلى VLAN رقم 2 على المحول A وإلى VLAN رقم 1 على المحول (ب). هذا يعني أن كل منفذ متصل (محطة عمل w في هذا مثال) في VLAN 1 على المحول (ب) سيتلقى جميع حزم المحادثة بين S1 و S2. لنفترض أن النسخ الاحتياطي للخادم يستغرق 50 ميجابت في الثانية من عرض النطاق الترددي. سيؤدي هذا الكم من حركة المرور إلى تشبع الارتباطات بسرعة 10 ميجابت في الثانية. سيؤدي ذلك إلى انقطاع الاتصال الكامل بأجهزة الكمبيوتر أو إبطاء تشغيلها بشكل كبير.

هذا يفيض إلى توجيه غير المتماثل، وقد يتوقف عندما يرسل الخادم S1 حزمة بث (على سبيل المثال بروتوكول تحليل العنوان (ARP). سيغمر المحول A هذه الحزمة إلى VLAN 1 وسيستلم المحول B عنوان MAC من S1 ويتعلمه. ونظرا لأن المحول لا يستقبل حركة مرور البيانات بشكل دائم، فإن إدخال إعادة التوجيه هذا سينتهي في نهاية المطاف وستتم إستئناف الفيضانات. وتنطبق نفس العملية على S2.

وهناك نهوج مختلفة للحد من الفيضانات الناجمة عن التوجيه غير المتماثل. راجع هذه المستندات للحصول على مزيد من المعلومات:

وعادة ما يكون النهج هو تحقيق مهلة ARP للموجه ووقت تقادم جدول إعادة توجيه المحولات قريبا من بعضهما البعض. وهذا سيتسبب في بث حزم ARP. يجب أن يحدث إعادة التوجيه قبل إنهاء إدخال جدول إعادة توجيه L2.

السيناريو النموذجي الذي قد تتم فيه ملاحظة هذا النوع من المشكلة هو عندما تكون هناك محولات متكررة من الطبقة 3 (L3) (مثل محول Catalyst 6000 باستخدام بطاقة ميزة التحويل متعدد الطبقات (MSFC)) تم تكوينها لموازنة الحمل باستخدام بروتوكول الموجه الاحتياطي الفعال (HSRP). في هذه الحالة، واحد مفتاح يكون نشط ل VLANs زوجي والآخر يكون نشط ل VLANs مختلف.

السبب 2: تغييرات مخطط بروتوكول الشجرة المتفرعة

هناك مشكلة شائعة أخرى ناجمة عن التجاوز هي إعلام تغيير مخطط بروتوكول الشجرة المتفرعة (STP). تم تصميم TCN لتصحيح جداول إعادة التوجيه بعد تغيير مخطط إعادة التوجيه. هذا ضروري لتجنب انقطاع الاتصال، بما أن بعد تغيير الطوبولوجيا، بعض الوجهات التي يمكن الوصول إليها سابقا عبر منافذ معينة قد يصبح يمكن الوصول إليها عبر منافذ مختلفة. يعمل TCN عن طريق تقصير وقت تقادم جدول إعادة التوجيه، بحيث أنه إذا لم يتم إعادة تعيين العنوان، فسيتم إنهاؤه وحدوث الفيضانات.

يتم تشغيل TCNs بواسطة منفذ يتم الانتقال إلى حالة إعادة التوجيه أو منها. بعد TCN، حتى إذا كان عنوان MAC للوجهة المحددة قد انتهى، لا يجب أن تحدث الفيضانات لمدة طويلة في معظم الحالات منذ إعادة تعيين العنوان. قد تظهر المشكلة عندما تحدث TCNs بشكل متكرر بفترات قصيرة. ستعمل المحولات باستمرار على تحديد جداول إعادة التوجيه الخاصة بها بسرعة فائقة حتى تصبح معدلات فيض البيانات ثابتة تقريبا.

عادة، يكون بروتوكول TCN نادرا في شبكة تم تكوينها بشكل جيد. عندما يذهب الميناء على مفتاح up or down، هناك أخيرا TCN ما إن ال STP دولة من الميناء يتغير إلى أو من forwarding. عندما يكون الميناء يرفرف، يكرر TCNs ويحدث يفيض.

لن تتسبب المنافذ التي تحتوي على ميزة STP PortFast التي تم تمكين ميزة شبكات TCN عند الانتقال إلى حالة إعادة التوجيه أو منها. يجب أن يؤدي تكوين PortFast على جميع منافذ الجهاز الطرفي (مثل الطابعات وأجهزة الكمبيوتر الشخصية والخوادم وما إلى ذلك) إلى تقييد TCNs بمبلغ منخفض. راجع هذا المستند للحصول على مزيد من المعلومات حول شبكات TCN:

ملاحظة: في MSFC IOS، هناك تحسين سيقوم بتشغيل واجهات VLAN لإعادة ملء جداول ARP الخاصة بها عندما يكون هناك TCN في شبكة VLAN المعنية. هذا يحد الفيضانات في حالة TCNs، بما أنه سيكون هناك بث ARP وسيتم إعادة تعيين عنوان MAC للمضيف بما أن المضيف يرد على ARP.

السبب 3: تجاوز جدول إعادة التوجيه

آخر سبب ممكن للفيض يستطيع كنت overflow من المفتاح forwarding طاولة. في هذه الحالة، لا يمكن التعرف على العناوين الجديدة وفضت الحزم الموجهة إلى هذه العناوين حتى تصبح بعض المساحة متوفرة في جدول إعادة التوجيه. سيتم بعد ذلك التعرف على عناوين جديدة. وهذا ممكن ولكنه نادر، نظرا لأن معظم المحولات الحديثة تحتوي على جداول إعادة توجيه كبيرة بدرجة كافية لاستيعاب عناوين MAC لمعظم التصميمات.

كما يمكن أن ينتج إستهلاك جدول إعادة التوجيه عن هجوم على الشبكة حيث يبدأ مضيف واحد في إنشاء إطارات كل منها مستمدة من عنوان MAC مختلف. سيؤدي هذا إلى ربط جميع موارد جدول إعادة التوجيه. بمجرد أن تصبح جداول إعادة التوجيه مشبعة، سيتم تدفق حركة مرور أخرى بسبب عدم إمكانية حدوث تعليم جديد. يمكن اكتشاف هذا النوع من الهجوم عن طريق فحص جدول إعادة توجيه المحول. يشير معظم عناوين MAC إلى نفس المنفذ أو مجموعة المنافذ. يمكن منع مثل هذه الهجمات بتحديد عدد عناوين MAC التي تم التعرف عليها على المنافذ غير الموثوق بها باستخدام ميزة أمان المنفذ.

تحتوي أدلة التكوين لمحولات Catalyst التي تشغل برنامج Cisco IOS® أو CatOS software على قسم يسمى تكوين أمان المنفذ أو تكوين التحكم في حركة مرور البيانات المستندة إلى المنفذ. راجع الوثائق الفنية للمحول لديك على صفحات منتجات محولات Cisco للحصول على مزيد من المعلومات.

ملاحظة: إن يقع unicast يفيض في مفتاح ميناء أي يكون شكلت لأمن أيسر مع الشرط من "يقيد" أن يعطل ال يفيض، أمن انتهاك ثبتت.

Router(config-if)#switchport port-security violation restrict

ملاحظة: عند حدوث انتهاك أمان من هذا القبيل، يجب أن تسقط المنافذ المتأثرة التي تم تكوينها لوضع "تقييد" الحزم ذات عناوين المصدر غير المعروفة حتى تقوم بإزالة عدد كاف من عناوين MAC الآمنة للإفلات دون القيمة القصوى. وهذا يتسبب في زيادة عداد SecurityViolation.

ملاحظة: بدلا من هذا السلوك، إذا انتقل منفذ المحول إلى حالة "إيقاف التشغيل"، فأنت بحاجة إلى تكوين الموجه(config-if)#switchport كتلة unicast حتى يتم تعطيل منفذ المحول الخاص لتمويلات البث الأحادي.

كيفية اكتشاف الفيضانات المفرطة

تنفذ معظم المحولات عدم وجود أمر خاص للكشف عن الفيضانات. محرك المشرف Catalyst 6500/6000 Supervisor Engine 2 ومحولات السلسلة الأعلى التي تشغل برنامج Cisco IOS System (أصلي) الإصدار 12.1(14)E والإصدارات الأعلى أو برنامج Cisco CatOS System الإصدار 7.5 أو إصدار أعلى تقوم بتنفيذ ميزة حماية طوفان البث الأحادي. باختصار، يسمح هذا سمة المفتاح أن يراقب المقدار من unicast يفيض لكل VLAN ويتخذ إجراء محدد إن يفيض يتجاوز المقدار المحدد. إجراءات يستطيع كنت أن يكون syslog، حد أو إيقاف عمل VLAN - ال syslog يكون الأكثر فائدة للكشف عن الفيضانات. عندما تتجاوز الفيضانات معدل التكوين ويكون الإجراء الذي تم تكوينه syslog، ستتم طباعة رسالة مماثلة لما يلي:

%UNICAST_FLOOD-4-DETECTED: Host 0000.0000.2100 on vlan 1 is flooding 
to an unknown unicast destination at a rate greater than/equal to 1 Kfps

ال {upper}mac address يشير إلى المصدر MAC من أي الربط فضت على هذا مفتاح. هو غالبا يحتاج أن يعرف الغاية {upper}mac address إلى أي مفتاح يكون يفيض (لأن مفتاح يكون forwarding ب ينظر في الغاية {upper}mac address). سيقوم الإصدار 12.1(20)E من Cisco IOS (أصلي) لمحرك المشرف Catalyst 6500/6000 Supervisor Engine 2 و On بتنفيذ إمكانية عرض عناوين MAC التي تحدث إليها الفيضانات:

cat6000#sh mac-address-table unicast-flood 
Unicast Flood Protection status: enabled

Configuration:
 vlan      Kfps         action       timeout
------+----------+-----------------+----------
   55          1             alert      none

Mac filters:
 No.   vlan   souce mac addr.           installed on           time left (mm:ss)
-----+------+-----------------+------------------------------+------------------

Flood details:
 Vlan   souce mac addr.              destination mac addr.
------+----------------+-------------------------------------------------
   55   0000.2222.0000    0000.1111.0029, 0000.1111.0040, 0000.1111.0063
                          0000.1111.0018, 0000.1111.0090, 0000.1111.0046
                          0000.1111.006d

بعد ذلك يمكن إجراء المزيد من التحقيقات لمعرفة ما إذا كان من المفترض أن يرسل عنوان MAC 0000.222.000 حركة مرور البيانات إلى عناوين MAC المدرجة في قسم عنوان MAC للوجهة. إن يكون حركة مرور شرعي، بعد ذلك يحتاج واحد أن يؤسس لما الغاية {upper}mac address لا يعرف إلى المفتاح.

قد تكتشف ما إذا كان يحدث فيض من خلال التقاط تتبع للحزم التي تم رؤيتها على محطة العمل أثناء وقت التباطؤ أو الانقطاع. عادة، لا يجب مشاهدة حزم البث الأحادي التي لا تتضمن محطة العمل بشكل متكرر على المنفذ. إذا كان هذا يحدث، فمن المحتمل حدوث فيضان. قد تبدو آثار الحزمة مختلفة عندما يكون هناك أسباب مختلفة للفيض.

مع توجيه غير متماثل، هناك على الأرجح يكون ربط إلى عنوان MAC معين أن لا يوقف يفيض حتى بعد ردود الوجهة. مع TCNs، سيتضمن الفيضان العديد من العناوين المختلفة، لكن يجب أن يتوقف أخيرا ثم يبدأ من جديد.

مع تجاوز جدول إعادة توجيه L2، من المحتمل أن ترى نفس النوع من الفيضانات كما هو الحال مع التوجيه غير المتماثل. الفرق هو أن هناك سيكون على الأرجح كمية كبيرة من ربط غريب، أو ربط عادي في كميات غير عادية مع مصدر مختلف {upper}mac address.

معلومات ذات صلة

TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • michelpe
    lebrooks
  • rducombl
    fvanderb

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات