Causas de bucles en conmutadores

Múltiples puertos están conectados a múltiples dispositivos para formar un bucle. La línea debajo de un determinado puerto está en bucle.

Una falla típica en el bucle de red. Utilicé la herramienta de análisis de protocolo Sniffer para capturarlo. Muchos datos. Bao, después de algunos análisis, no se encontró ningún problema. Obviamente, ver una gran cantidad de paquetes SYN a primera vista nos dio una ilusión y dimos por sentado que se trataba de un ataque SYN Flood. Luego, revisamos el proceso de solución de problemas de este bucle de red, analizamos cuidadosamente los paquetes de datos capturados nuevamente y explicamos las cinco características únicas de estos paquetes de datos mencionadas anteriormente para referencia futura. Capacidad para responder de manera rápida y correcta cuando encontramos problemas similares.

Veamos primero las primeras cuatro características: el conmutador de agregación es un dispositivo de capa de red. La interfaz de capa de red de la VLAN a la que pertenece el edificio se configura en este conmutador de agregación con el fin de implementar la red. políticas de administración, las direcciones IP registradas o no registradas están vinculadas a direcciones MAC. Una conexión TCP requiere tres apretones de manos para establecerse. La longitud del paquete SYN que inicia la conexión aquí es de 28 bytes, más un encabezado de trama Ethernet de 14 bytes y un encabezado IP de 20 bytes, capturado por Sniffer. La longitud máxima de la trama es de 62 bytes. (excluyendo el campo FCS de detección de errores de 4 bytes). Sucede que la trama de unidifusión que accede a la VLAN en ese momento era un paquete de solicitud TCP de la red externa. Según el mecanismo de reenvío del puente Ethernet, después de pasar la prueba de corrección CRC, el conmutador de agregación reenviará la trama de unidifusión. Configuración ARP estática: la dirección MAC de origen se convierte en la dirección MAC local y la dirección MAC de destino se reemplaza de acuerdo con los parámetros de enlace, se vuelve a calcular el valor de CRC y se actualiza el campo FCS. reenviado al interruptor de acceso en ese edificio.

Veamos la última característica: un puente es un dispositivo de almacenamiento y reenvío que se utiliza para conectar LAN similares. Estos puentes monitorean cada trama de datos transmitida en todos los puertos y utilizan la tabla de puentes como base para reenviar la trama de datos. La tabla puente es una lista de "dirección MAC-número de puerto" de direcciones MAC y números de puerto utilizados para alcanzar la dirección. Se actualiza con la dirección MAC de origen de la trama de datos y el número de puerto que recibió la trama. Así es como el puente usa la tabla de puente: cuando el puente recibe una trama de datos de un puerto, primero actualiza la tabla de puente y luego busca la dirección MAC de destino de la trama en su tabla de puente. Si se encuentra, la trama se reenviará desde el puerto correspondiente a esta dirección MAC (si el puerto de reenvío es el mismo que el puerto de recepción, la trama se descartará).

Si no se encuentra, la trama se reenviará a un puerto distinto al puerto de recepción, es decir, la trama se transmitirá. Aquí se supone que durante todo el proceso de reenvío, los puentes A, B, C y D no pueden encontrar la dirección MAC de destino de la trama de datos en sus tablas de puentes, es decir, estos puentes no saben a qué puerto se debe reenviar la trama. de. Cuando el puente A recibe una trama de unidifusión de la red ascendente desde el puerto de enlace ascendente, transmitirá la trama. Los puentes B y C también transmitirán la trama después de recibirla. La trama de unidifusión de C se envía de regreso al puente A a través de los puentes C y B respectivamente. En este punto, el puente A ha recibido dos copias de la trama de unidifusión.

Durante este proceso de reenvío de bucle, el puente A sigue recibiendo la misma trama en diferentes puertos (el puerto de enlace ascendente ya no está involucrado en este momento. Dado que el puerto de recepción está cambiando, la tabla de cambios también cambia). el contenido de la lista de "Número de puerto MAC de origen". Anteriormente se supuso que la dirección MAC de destino de la trama no existe en la tabla de puenteo del puente. Después de recibir las dos tramas de unidifusión respectivamente, el Puente A solo puede transmitir la trama nuevamente a otros puertos excepto al puerto de recepción. también se reenvían al puerto de enlace ascendente.

Para cada cuadro de unidifusión, el Puente A repite el proceso mencionado anteriormente, en teoría recibirá 21 cuadros después de transmitir una vez, y se recibirán 22 cuadros después de transmitir dos veces.…, se recibirán 2n cuadros después. transmitiendo por enésima vez. En resumen, si el Puente A continúa avanzando de esta manera, pronto se formará una tormenta de transmisión y la copia de esta trama de unidifusión eventualmente consumirá el ancho de banda del puerto 100BASE-X. Aunque habrá muchas tramas de datos en el puerto de enlace ascendente durante este período que chocarán entre sí y quedarán incompletas, haciendo imposible que Sniffer las capture, es concebible que el número de repeticiones de esta trama de unidifusión siga siendo muy alto. . Revisamos los paquetes capturados nuevamente y casi todos encontramos indicadores duplicados que no notamos en ese momento.

Calculada en base a una longitud de paquete de 64 bytes, la velocidad de la línea de reenvío del puerto 100BASE-FX del conmutador Ethernet puede alcanzar 144.000 pps. En este estado de bucle de red, Sniffer puede capturar más de 100.000 paquetes de datos de 66 bytes por segundo.

Según las razones anteriores, dado que la dirección MAC de destino del paquete no estaba en la tabla de puente de los cuatro conmutadores en ese momento, después de que el conmutador de agregación en la red ascendente envió un paquete de solicitud TCP al edificio, continuará recibiendo copias de los paquetes TCP reenviados por el conmutador de acceso del edificio, y el número es muy grande (formando un gran flujo). Sin embargo, no reenviará estos paquetes recibidos a la red de Internet; La aplicación se basa en el modo de solicitud/respuesta. La comunicación de extremo a extremo solo se puede llevar a cabo cuando los canales de envío y recepción están claros.

Una vez bloqueado un canal en esta aplicación de red, la aplicación finalizará al no poder continuar. Una vez finalizada la solicitud de red, en términos generales, la parte que inició la solicitud no enviará automáticamente otro paquete de solicitud para esta aplicación. Por lo tanto, en un estado de bucle de red, es común que un canal tenga mucho tráfico y el otro canal casi no tenga tráfico. Debido a que la VLAN tiene la función de aislar dominios de transmisión, estos grandes flujos no pasarán a través de la capa de red, por lo que no ejercerán una gran presión sobre el conmutador de agregación.

De hecho, dado que este tipo de bucle de red es una falla en la capa de enlace de datos y solo involucra la dirección MAC de origen y la dirección MAC de destino, no importa qué tipo de paquete esté encapsulado por la capa superior, puede causar tormenta de difusión. En otras palabras, era posible utilizar Sniffer para capturar varios paquetes de datos en ese momento.

Prevención de fallos

La capa de acceso de la red del campus es una interfaz de red orientada al usuario. Tiene muchos componentes incontrolables y la situación es muy complicada. Debe ser gestionada por personal dedicado. y también debe instalarse en el equipo. Proporcionar garantía de confiabilidad. Este conmutador de acceso es gestionado y tiene función STP, mientras que otros conmutadores son conmutadores no gestionados y no tienen función STP. Originalmente, la función STP se configuró en el conmutador de acceso de antemano y este accidente de red era completamente evitable. Sin embargo, esto no se hizo por alguna razón y la única forma de hacerlo después fue enmendarlo.

Se puede ver que incluso si el conmutador de acceso tiene la función STP activada, la red descendente formará un bucle por alguna razón, lo que resultará en una tormenta de transmisión, lo que provocará un impacto en la VLAN del canal ascendente. red, por lo que el conmutador de acceso también debe tener una función de supresión de paquetes de transmisión para limitar el impacto en un área local. Los conmutadores de la red descendente también tienen estos requisitos, pero es sólo una cuestión de coste. En una palabra, la tecnología y la experiencia son importantes a la hora de solucionar problemas de red, pero es más importante mantener conexiones de red estandarizadas e implementar medidas preventivas básicas en tiempos normales.