Коммутаторы : Коммутаторы Cisco Catalyst серии 6500

Unicast, затопляющий в переключенных сетях кампуса

16 января 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (11 августа 2008) | Английский (20 октября 2015) | Отзыв


Содержание


Введение

Этот документ обсуждает возможные причины и значения unicast наводнения пакета в переключенных сетях.

Предпосылки

Требования

Нет никаких определенных требований для этого документа.

Используемые компоненты

Этот документ не ограничен определенными версиями программного и аппаратного обеспечения.

Соглашения

Для получения дополнительной информации о соглашениях документа направьте в Cisco Технические Соглашения Подсказок.

Проблемное определение

LAN переключает посылаемые столы использования (Слой 2 стола (L2), столы Содержания адресуемой памяти (CAM)) к прямому движению к определенным портам, основанным на числе VLAN и Мак адресе назначения структуры. Когда не будет никакого входа, соответствующего Мак адресу структуры назначения в поступающем VLAN, (unicast) структуру пошлют во все посылаемые порты в пределах соответствующего VLAN, который вызывает наводнение.

Ограниченное наводнение является частью нормального процесса переключения. Однако, когда непрерывное наводнение может вызвать неблагоприятные исполнительные эффекты на сеть, существуют ситуации. Этот документ объясняет, какие проблемы могут возникнуть из-за наводнения и наиболее распространенных причин, почему могло бы постоянно затопляться определенное движение.

Обратите внимание на то, что самые современные выключатели включая Катализатор 2900 XL, 3500 XL, 2940, 2950, 2970, 3550, 3750, 4500/4000, 5000, и 6500/6000 серийные выключатели поддерживают посылаемые столы L2 за VLAN.

Причины наводнения

Самая причина наводнения состоит в том, что Мак адрес назначения пакета не находится в посылаемом столе L2 выключателя. В этом случае пакет будет затопляться из всех посылаемых портов в его VLAN (кроме порта, это было получено на). Ниже тематических исследований показывают наиболее распространенные причины Мак адреса назначения, не будучи известен выключателю.

Причина 1: асимметричное направление

Большие суммы затопляемого движения могли бы насыщать связи низкой полосы пропускания, вызывающие проблемы производительности сети, или закончить отключение электричества возможности соединения к устройствам, связанным через такие связи низкой полосы пропускания. Рассмотрите следующую диаграмму:

/image/gif/paws/23563/143-a.gif

В диаграмме выше, сервер S1 в VLAN 1 управляет резервной копией (оптовая передача данных) к серверу S2 в VLAN 2. Сервер S1 имеет свои ворота по умолчанию, указывающие на интерфейс VLAN 1 A маршрутизатора. Сервер S2 имеет свои ворота по умолчанию, указывающие на интерфейс VLAN 2 B маршрутизатора. Пакеты от S1 до S2 будут следовать за этим путем:

  • S1 - VLAN 1 - переключается - маршрутизатор - VLAN 2 - переключает B - VLAN 2 - S2 (синяя линия)

Пакеты от S2 до S1 продвигаются следующий путь:

  • S2 - VLAN 2 - переключает B - маршрутизатор B - VLAN 1 - переключается - затопляемый к VLAN 1 - S1 (красная линия)

Обратите внимание на то, что с такой договоренностью, переключитесь, A не будет "видеть" движение от Мак адреса S2 в VLAN 2 (так как исходный Мак адрес будет переписан маршрутизатором B, и пакет только прибудет в VLAN 1). Это означает, что каждый раз переключают потребности послать пакет в Мак адрес S2, пакет будет затопляться к VLAN 2. Та же самая ситуация произойдет с Мак адресом S1 на выключателе B.

Это поведение называют асимметричным направлением. Пакеты следуют за различными путями в зависимости от направления. Асимметричное направление является одной из двух наиболее распространенных причин наводнения.

Воздействие наводнения Unicast

Возвращаясь к вышеупомянутому примеру, результат состоит в том, что пакеты передачи данных между S1 и S2 будут главным образом затопляться к VLAN 2 на выключателе A и к VLAN 1 на выключателе B. Это означает, что каждый связанный порт (автоматизированное рабочее место W в этом примере) в VLAN 1 на выключателе B получит все пакеты разговора между S1 и S2. Предположим, что резервная копия сервера берет 50 Мбит/с полосы пропускания. Эта сумма движения будет насыщать связи на 10 Мбит/с. Это вызовет полное отключение электричества возможности соединения к PCs или замедлит их значительно.

Когда сервер S1 посылает пакет вещания (например, Протокол резолюции адреса (ARP)), это наводнение происходит из-за асимметричного направления и может остановиться. Выключатель A затопит этот пакет к VLAN 1 и переключится, B получит и изучит Мак адрес S1. Так как выключатель не получает движение постоянно, этот посылаемый вход будет в конечном счете стареть, и наводнение возобновится. Тот же самый процесс относится к S2.

Существуют разные подходы для ограничения наводнения, вызванного асимметричным направлением. Обратитесь к этим документам для получения дополнительной информации:

Подход должен обычно приносить перерыв маршрутизатора ARP и посылаемое время старения стола выключателей друг близко к другу. Это заставит пакеты ARP быть переданными. Переизучение должно произойти перед L2, отправляя возрасты записи в таблице.

Типичный сценарий, где этот вид проблемы мог бы наблюдаться, - когда существует избыточный Слой 3 (L3) выключатели (такие как Катализатор 6000 с Картой особенности выключателя Mutilayer (MSFC)) формируется к балансу груза с Горячим резервным протоколом маршрутизатора (HSRP). В этом случае один выключатель будет активен для даже VLANs, и другой будет активен для странного VLANs.

Причина 2: изменения топологии протокола дерева охвата

Другой общий вопрос, вызванный наводнением, является Уведомлением об изменении топологии (TCN) Протокола дерева охвата (STP). TCN разработан для исправления посылаемых столов после того, как изменилась посылаемая топология. Это необходимо для предотвращения отключения электричества возможности соединения, как после изменения топологии, некоторые места назначения, ранее доступные через особые порты, могли бы стать доступными через различные порты. TCN работает путем сокращения посылаемого стола стареющее время, такое, что, если адрес не повторно изучен, это будет стареть, и наводнение произойдет.

TCNs вызваны портом, который переходит к или от посылаемого состояния. После TCN, даже если особый Мак адрес назначения имеет в возрасте, наводнение не должно происходить долгое время в большинстве случаев, так как адрес будет повторно изучен. Когда TCNs происходят неоднократно с короткими интервалами, проблема могла бы возникнуть. Выключатели постоянно будут быстрым старением, их посылаемые столы, настолько затопляющие, будут почти постоянными.

Обычно, TCN редок в хорошо формируемой сети. Когда порт на выключателе повышается или вниз, существует в конечном счете TCN, как только государство STP порта изменяется на или от отправления. Когда порт колеблется, повторный TCNs и наводнение происходят.

Порты с STP portfast особенность позволили, не вызовет TCNs при движении в или от посылаемого состояния. Конфигурация portfast на всех портах устройства конца (таких как принтеры, PCs, серверы, и так далее) должна ограничить TCNs низкой суммой. Обратитесь к этому документу для получения дополнительной информации о TCNs:

Примечание: В IOS MSFC существует оптимизация, которая вызовет интерфейсы VLAN, чтобы повторно населить их столы ARP, когда будет TCN в соответствующем VLAN. Это ограничивает наводнение в случае TCNs, поскольку будет передача ARP, и Мак адрес хозяина будет повторно изучен, поскольку хозяева отвечают на ARP.

Причина 3: отправление переполнения стола

Другой возможной причиной наводнения может быть переполнение посылаемого стола выключателя. В этом случае новые адреса не могут быть изучены, и пакеты, предназначенные к таким адресам, затопляются, пока некоторое пространство не становится доступным в посылаемом столе. Новые адреса будут тогда изучены. Это возможно, но редко, так как большинство современных выключателей имеет достаточно большие посылаемые столы для размещения Мак адресов для большинства проектов.

Отправление истощения стола может также быть вызвано нападением на сеть, где один хозяин начинает производить структуры каждый поставленный с различным Мак адресом. Это свяжет все посылаемые ресурсы стола. Как только посылаемые столы становятся влажными, другое движение будет затопляться, потому что не может произойти новое изучение. Этот вид нападения может быть обнаружен путем исследования посылаемого стола выключателя. Большинство Мак адресов укажет на тот же самый порт или группу портов. Такие нападения могут быть предотвращены путем ограничения числа Мак адресов, изученных на портах, которым не доверяют, при помощи механизма безопасности порта.

У Гидов конфигурации для выключателей Катализатора, управляющих программным обеспечением Cisco IOS� или CatOS, есть секция под названием Формирование безопасности Порта или Формирование Находящегося на порте Регулирования движения. Обратитесь к Технической документации для вашего выключателя на Cisco страницы продукта Выключателей для получения дополнительной информации.

Примечание: Если наводнение unicast происходит в порту выключателя, который формируется для безопасности Порта с условием "Restrict" арестовать наводнение, нарушение безопасности является trigerred.

Router(config-if)#switchport port-security violation restrict

Примечание: То, когда такое нарушение безопасности происходит, затронутые порты, формируемые для, "ограничивают" способ, должно уронить пакеты с неизвестными адресами источника, пока вы не удаляете достаточное число безопасных Мак адресов для понижения ниже максимального значения. Это вызывает SecurityViolation в противоречии с приращением.

Примечание: Вместо этого поведения, если порт выключателя двигается в состояние "Закрытия" тогда, необходимо формировать Router(config-if)#switchport block unicast так, чтобы особый порт выключателя был разрушен для наводнения unicast.

Как обнаружить чрезмерное наводнение

Большинство выключателей не осуществляет специальной команды для обнаружения наводнения. Катализатор 6500/6000 наблюдатель Энджин 2 и более высокие серийные выключатели, управляющие программным обеспечением Cisco IOS System (местный житель) версия 12.1 (14) E и выше или системная версия 7.5 программного обеспечения Cisco CatOS или более высокие орудия 'unicast защита от наводнений' особенность. Короче говоря, эта особенность позволяет выключателю контролировать сумму unicast, затопляющего за VLAN и принимать определенные меры, если наводнение превышает определенную сумму. Действия могут быть к syslog, пределу или закрытию VLAN - syslog быть самым полезным для обнаружения наводнения. Когда наводнение превышает формируемый уровень, и формируемое действие является syslog, сообщение, подобное следующему, будет напечатано:

%UNICAST_FLOOD-4-DETECTED: Host 0000.0000.2100 on vlan 1 is flooding 
to an unknown unicast destination at a rate greater than/equal to 1 Kfps

Обозначенный Мак адрес является источником MAC, от которого пакеты затопляются на этом выключателе. Часто необходимо знать Мак адреса назначения, к которым выключатель затопляет (потому что выключатель отправляет путем рассмотрения Мак адреса назначения). Cisco IOS (местный житель) версии 12.1 (20) E для Катализатора 6500/6000 двигатель наблюдателя 2 и на осуществит способность показать Мак адреса, с которыми происходит наводнение:

cat6000#sh mac-address-table unicast-flood 
Unicast Flood Protection status: enabled

Configuration:
�vlan����� Kfps�������� action������ timeout
------+----------+-----------------+----------
�� 55��������� 1������������ alert����� none

Mac filters:
�No.�� vlan�� souce mac addr.���������� installed on���������� time left (mm:ss)
-----+------+-----------------+------------------------------+------------------

Flood details:
�Vlan�� souce mac addr.������������� destination mac addr.
------+----------------+-------------------------------------------------
�� 55�� 0000.2222.0000��� 0000.1111.0029, 0000.1111.0040, 0000.1111.0063
������������������������� 0000.1111.0018, 0000.1111.0090, 0000.1111.0046
������������������������� 0000.1111.006d

Дальнейшее расследование может тогда быть выполнено, чтобы видеть, как ли Мак адрес 0000.2222.0000, предполагается, посылает движение в Мак адреса, перечисленные в секции Мак адреса назначения. Если бы движение законно, то нужно было бы установить, почему Мак адреса назначения не известны выключателю.

Для получения информации о unicast конфигурации защиты от наводнений обратитесь к этим документам:

Если наводнение происходит путем завоевания следа пакетов, замеченных на автоматизированном рабочем месте в течение времени замедления или отключения электричества, можно обнаружить. Обычно, unicast пакеты, не включающие автоматизированное рабочее место, не должен неоднократно замечаться на порту. Если это происходит, возможности состоят в том, что там затопляет появление. Когда существуют различные причины наводнения, следы пакета могут выглядеть по-другому.

С асимметричным направлением, вероятно, будут пакеты к определенному Мак адресу, который не прекратит затоплять даже после ответов назначения. С TCNs наводнение будет включать много различных адресов, но должно в конечном счете остановить и затем перезапустить.

С L2, отправляя переполнение стола, вы, вероятно, будете видеть тот же самый вид наводнения как с асимметричным направлением. Различие - то, что, вероятно, будет большое количество странных пакетов или нормальных пакетов в неправильных количествах с Мак адресом другого источника.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 23563