Unicast Flooding in Switched Campus Networks

Inleiding

Dit document bespreekt mogelijke oorzaken en implicaties van unicast-pakketoverstroming in switched netwerken.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Probleemdefinitie

LAN-switches gebruiken tabellen (Layer 2 (L2)-tabellen, CAM-tabellen (Content Adressable Memory) om verkeer naar specifieke poorten te sturen op basis van het VLAN-nummer en het MAC-adres van de bestemming van het frame. Wanneer er geen ingang is die aan het adres van de bestemmingsMAC van het kader in inkomend VLAN beantwoordt, zal het (unicast) kader naar alle het door:sturen havens binnen respectieve VLAN worden verzonden, dat overstroming veroorzaakt.

Beperkte overstroming maakt deel uit van het normale schakelproces. Er zijn echter situaties waarin continue overstroming nadelige gevolgen kan hebben voor de prestaties van het netwerk. In dit document wordt uitgelegd welke problemen kunnen ontstaan door overstromingen en wat de meest voorkomende redenen zijn waarom bepaalde verkeersstromen voortdurend onder water kunnen komen te staan.

Merk op dat de meeste switches, waaronder Catalyst 2900-XL, 3500-XL, 2940, 2950, 2970, 3550, 3750, 4500/4000, 5000 en 6500/6000 Series switches L2-tabellen per VLAN onderhouden.

Oorzaken van overstromingen

De eigenlijke oorzaak van overstroming is dat het adres van bestemmingMAC van het pakket niet in de L2 het door:sturen lijst van de switch is. In dit geval zal het pakket worden overstroomd uit alle doorsturen poorten in zijn VLAN (behalve de poort waarop het werd ontvangen). Onderstaande casestudy’s tonen de meest voorkomende redenen voor het niet bij de switch bekend MAC-adres van de bestemming.

Oorzaak 1: asymmetrische routing

Grote hoeveelheden overstroomd verkeer zouden laag-bandbreedteverbindingen kunnen verzadigen veroorzakend de kwesties van netwerkprestaties of volledige connectiviteitsstroomonderbreking aan apparaten die over dergelijke laag-bandbreedteverbindingen worden aangesloten. Neem het volgende diagram in overweging:

In het bovenstaande diagram wordt op server S1 in VLAN 1 back-up (bulkgegevensoverdracht) uitgevoerd naar server S2 in VLAN 2. Server S1 heeft zijn standaardgateway gericht op router A VLAN 1 interface. Server S2 heeft zijn standaardgateway gericht op router B VLAN 2 interface. Pakketten van S1 naar S2 volgen dit pad:

• S1—VLAN 1—switch A—router A—VLAN 2—switch B—VLAN 2—S2 (blauwe lijn)

De pakketten van S2 aan S1 gaan langs de volgende weg:

• S2—VLAN 2—switch B—router B—VLAN 1—switch A—overstroomd naar VLAN 1—S1 (rode lijn)

Merk op dat met zo'n regeling, switch A geen verkeer van het S2 MAC adres in VLAN 2 zal "zien" (aangezien het bron MAC adres door router B zal worden herschreven en het pakket slechts in VLAN 1 zal aankomen). Dit betekent dat elke keer dat switch A het pakket naar het S2 MAC-adres moet versturen, het pakket naar VLAN 2 overstroomd zal worden. De zelfde situatie zal met het adres van S1 MAC op switch B. gebeuren.

Dit gedrag wordt asymmetrische routing genoemd. Pakketten volgen verschillende paden afhankelijk van de richting. Asymmetrische routing is een van de twee meest voorkomende oorzaken van overstroming.

Impact van overstroming via Unicast

Terugkerend op het bovengenoemde voorbeeld, is het resultaat dat de pakketten van de gegevensoverdracht tussen S1 en S2 meestal zullen overstroomd worden naar VLAN 2 op switch A en naar VLAN 1 op switch B. Dit betekent dat elke verbonden poort (werkstation W in dit voorbeeld) in VLAN 1 op switch B alle gesprekspakketten tussen S1 en S2 zal ontvangen. Veronderstel de serversteun 50 Mbps van bandbreedte neemt. Deze hoeveelheid verkeer verzadigt 10 Mbps koppelingen. Dit zal een volledige connectiviteitsonderbreking aan PCs veroorzaken of hen aanzienlijk vertragen.

Deze overstroming is het gevolg van asymmetrische routing en kan stoppen wanneer de server S1 een broadcast-pakket verstuurt (bijvoorbeeld Address Resolution Protocol (ARP)). Switch A zal dit pakket overstromen naar VLAN 1 en switch B zal het MAC-adres van S1 ontvangen en leren. Aangezien de switch niet voortdurend verkeer ontvangt, zal deze expeditie uiteindelijk verouderen en zal de overstroming hervatten. Hetzelfde proces geldt voor S2.

Er zijn verschillende benaderingen om de overstromingen te beperken die door asymmetrische routing worden veroorzaakt. Raadpleeg deze documenten voor meer informatie:

• Asymmetrische routing met bruggroepen op Catalyst 2948G-L3- en 4908G-L3-Switches

• Asymmetrische routing en HSRP (buitensporige overstroming van Unicast-verkeer in netwerk met routers die HSRP uitvoeren)

De benadering is normaal om de ARP van de router en de het door:sturen lijst-verouderende tijd van de switches dicht bij elkaar te brengen. Dit zal veroorzaken dat de ARP pakketten worden uitgezonden. Het herverdienen moet voorkomen voordat de L2 het door:sturen van lijst ingang leeftijden uit.

Een typisch scenario waarin dit soort probleem kan worden waargenomen, is wanneer er redundante Layer 3 (L3)-switches zijn (zoals een Catalyst 6000 met Multilayer Switch Feature Card (MSFC)) die zijn geconfigureerd om de taakverdeling te bepalen met Hot Standby Router Protocol (HSRP). In dit geval zal één switch actief zijn voor zelfs VLAN’s en zal de andere actief zijn voor oneven VLAN’s.

Oorzaak 2: wijzigingen in Spanning-Tree Protocol-topologie

Een andere veel voorkomende kwestie die wordt veroorzaakt door overstromingen is Spanning-Tree Protocol (STP) topologie/wijzigingsmelding (TCN). TCN wordt ontworpen om het door:sturen van tabellen te verbeteren nadat de het door:sturen topologie is veranderd. Dit is noodzakelijk om een connectiviteitsonderbreking te vermijden, aangezien na een topologieverandering sommige eerder via bepaalde havens toegankelijke bestemmingen via verschillende havens toegankelijk zouden kunnen worden. TCN werkt door de verzendende lijst het verouderen tijd te verkorten, zodat als het adres niet opnieuw wordt verdiend, het uit zal verouderen en overstroming zal voorkomen.

TCN's worden geactiveerd door een poort die overgaat van of naar de doorsturen staat. Na de TCN, zelfs als het specifieke adres van bestemmingsMAC is verouderd, zou overstroming niet voor lang moeten gebeuren in de meeste gevallen aangezien het adres zal worden herverdiend. De kwestie kan zich voordoen wanneer TCN's met korte tussenpozen herhaaldelijk voorkomen. De switches zullen voortdurend hun voorwaartse tafels snel verouderen, zodat overstromingen bijna constant zullen zijn.

Normaal gesproken is een TCN zeldzaam in een goed geconfigureerd netwerk. Wanneer de poort op een switch omhoog of omlaag gaat, is er uiteindelijk een TCN wanneer de STP-status van de poort verandert in of van doorsturen. Wanneer de haven flapt, gebeuren er herhaaldelijke TCN's en overstromingen.

Poorten met de ingeschakelde STP-portfast-functie veroorzaken geen TCN's bij het naar of van de doorsturen staat. De configuratie van portfast op alle eindapparaatpoorten (zoals printers, pc's, servers, enzovoort) zou TCN's tot een laag bedrag moeten beperken. Raadpleeg dit document voor meer informatie over TCN's:

• Understanding Spanning-Tree Protocol Topology Changes (Inzicht in wijzigingen in topologie van Spanning Tree Protocol)

Opmerking: in MSFC IOS is er een optimalisatie die VLAN-interfaces activeert om hun ARP-tabellen te herbevolken wanneer er een TCN in het betreffende VLAN is. Dit beperkt overstroming in het geval van TCNs, aangezien er een ARP uitzending zal zijn en het adres van gastheerMAC zal als gastheerantwoord aan ARP worden herleid.

Oorzaak 3: doorsturen van tabel overflow

Een andere mogelijke oorzaak van overstromingen kan overloop van de switch door:sturen lijst zijn. In dit geval, kunnen de nieuwe adressen niet worden geleerd en de pakketten die aan dergelijke adressen worden bestemd worden overstroomd tot één of andere ruimte in de het door:sturen lijst beschikbaar wordt. Nieuwe adressen zullen dan geleerd worden. Dit is mogelijk, maar zeldzaam, omdat de meeste moderne switches groot genoeg het door:sturen van tabellen hebben om de adressen van MAC voor de meeste ontwerpen aan te passen.

Het doorsturen van tabel uitputting kan ook worden veroorzaakt door een aanval op het netwerk waar één host begint met het genereren van frames elke bron met verschillende MAC-adres. Dit zal vastbinden alle het door:sturen lijstmiddelen. Zodra de het door:sturen tabellen verzadigd worden, zal ander verkeer overstroomd worden omdat het nieuwe leren niet kan voorkomen. Dit soort aanval kan worden gedetecteerd door de switch-doorstuurtabel te bekijken. De meeste MAC-adressen wijzen naar dezelfde poort of groep poorten. Dergelijke aanvallen kunnen worden voorkomen door het aantal MAC-adressen te beperken dat op onbetrouwbare poorten wordt geleerd door gebruik te maken van de poortbeveiligingsfunctie.

De Configuratiehandleidingen voor Catalyst switches die met Cisco IOS®- of CatOS-software werken, bevatten een sectie met de naam Poortbeveiliging configureren of Poortgebaseerde verkeerscontrole configureren. Raadpleeg de Technische documentatie voor uw switch op de productpagina's van Cisco Switches voor meer informatie.

Opmerking: als unicastoverstromingen optreden in een switch die is geconfigureerd voor poortbeveiliging met de voorwaarde "Beperken" om de overstromingen te stoppen, wordt een inbreuk op de beveiliging gepleegd.

Router(config-if)#switchport port-security violation restrict

Opmerking: Wanneer een dergelijke schending van de beveiliging optreedt, moeten de betreffende poorten die zijn geconfigureerd voor "limiteren"-modus pakketten met onbekende bronadressen laten vallen totdat u een voldoende aantal beveiligde MAC-adressen verwijdert om onder de maximumwaarde te vallen. Dit veroorzaakt de Security Violation teller aan toename.

Opmerking: in plaats van dit te doen, als de switch poort beweegt naar de status "Shutdown" moet u Router (config-if)#switchport blokkeren unicast configureren zodat de bepaalde switch poort is uitgeschakeld voor unicast-overstroming.

Hoe buitensporige overstromingen te detecteren

De meeste switches passen geen speciale opdracht toe om overstromingen te detecteren. Catalyst 6500/6000 Supervisor Engine 2 en switches uit de hogere serie waarop Cisco IOS-systeemsoftware (native) versie 12.1(14)E en hoger wordt uitgevoerd, of Cisco CatOS systeemsoftwareversie 7.5 of hoger implementeert de 'unicast flood protection'-functie. Kortom, deze functie stelt de switch in staat om de hoeveelheid unicast-overstroming per VLAN te bewaken en specifieke actie te ondernemen als de overstroming een bepaalde hoeveelheid overschrijdt. Acties kunnen worden gericht op syslog, limit of shutdown VLAN - de syslog is de meest nuttige voor overstromingsdetectie. Als overstroming de ingestelde snelheid overschrijdt en de geconfigureerde actie syslog is, wordt een bericht afgedrukt dat lijkt op het volgende:

%UNICAST_FLOOD-4-DETECTED: Host 0000.0000.2100 on vlan 1 is flooding 
to an unknown unicast destination at a rate greater than/equal to 1 Kfps

Het aangegeven MAC-adres is de bron-MAC van waaruit de pakketten op deze switch overstroomd zijn. Het is vaak nodig om de bestemmingsMAC adressen te kennen waaraan de switch overstroomt (omdat de switch door het adres van bestemmingsMAC door:sturen kijkt). Cisco IOS (Native) versies 12.1(20)E voor Catalyst 6500/6000 supervisor engine 2 en hoger zal de mogelijkheid implementeren om de MAC-adressen weer te geven waarop overstromingen plaatsvinden:

cat6000#sh mac-address-table unicast-flood 
Unicast Flood Protection status: enabled

Configuration:
 vlan      Kfps         action       timeout
------+----------+-----------------+----------
   55          1             alert      none

Mac filters:
 No.   vlan   souce mac addr.           installed on           time left (mm:ss)
-----+------+-----------------+------------------------------+------------------

Flood details:
 Vlan   souce mac addr.              destination mac addr.
------+----------------+-------------------------------------------------
   55   0000.2222.0000    0000.1111.0029, 0000.1111.0040, 0000.1111.0063
                          0000.1111.0018, 0000.1111.0090, 0000.1111.0046
                          0000.1111.006d

Verder onderzoek kan dan worden uitgevoerd om te zien of het MAC-adres 0000.222.0000 verkeer naar de MAC-adressen moet verzenden die in het doelMAC-adresgedeelte worden vermeld. Als verkeer legitiem is, dan zou men moeten vaststellen waarom de bestemmingsMAC-adressen niet bekend zijn bij de switch.

U kunt detecteren of er overstroming optreedt door een spoor van pakketten op een werkstation te registreren tijdens de tijd van de vertraging of onderbreking. Normaal gesproken hoeven unicastpakketten die geen betrekking hebben op het werkstation niet herhaaldelijk op de poort te worden bekeken. Als dit gebeurt, is de kans groot dat er overstromingen plaatsvinden. Packet traces kunnen er anders uitzien als er verschillende oorzaken van overstromingen zijn.

Met asymmetrische routing zijn er waarschijnlijk pakketten naar specifieke MAC-adressen die niet stoppen met overstroming, zelfs na de antwoorden van de bestemming. Met TCNs, zal de overstroming vele verschillende adressen omvatten, maar zou uiteindelijk moeten ophouden en dan opnieuw beginnen.

Met L2 doorsturen tabel overflow, zult u waarschijnlijk zien hetzelfde soort overstroming als met asymmetrische routing. Het verschil is dat er waarschijnlijk een grote hoeveelheid vreemde pakketten zal zijn, of normale pakketten in abnormale hoeveelheden met een ander bron-MAC-adres.

Gerelateerde informatie

• Productondersteuning voor switches
• Ondersteuning voor LAN-switching technologie
• Technische ondersteuning – Cisco Systems