Одноадресный поток

Обработка одноадресной передачи как широковещательной

В компьютерных сетях одноадресный поток происходит, когда коммутатор получает одноадресный кадр и не знает, что адресат находится на каком-либо конкретном порту коммутатора. Поскольку у коммутатора нет информации о том, через какой порт, если таковой имеется, может быть достигнут адресат, он пересылает кадр через все порты, кроме того, через который кадр был получен.

Фон

Unicast относится к одноадресной передаче от одного узла сети к другому. Эта диаграмма иллюстрирует одноадресную передачу кадра от одного узла сети к другому:

Когда коммутатор получает одноадресный кадр с адресом назначения, отсутствующим в таблице пересылки коммутатора , кадр обрабатывается как широковещательный кадр и отправляется во все сегменты сети, к которым он подключен, за исключением того, из которого он получил кадр:

Причины

Процесс обучения прозрачного моста требует, чтобы коммутатор получил кадр от устройства, прежде чем на него можно будет пересылать одноадресные кадры. Перед получением любой такой передачи используется одноадресная лавинная рассылка, чтобы гарантировать, что передачи достигнут своих предполагаемых адресатов. Обычно это кратковременное состояние, поскольку получение обычно производит ответ, который завершает процесс обучения. Процесс происходит, когда устройство изначально подключается к сегменту сети или после того, как его адрес и идентификатор порта очищаются из базы данных пересылки . Запись очищается, когда соединение отключается на исходном порту или когда оно истекает из-за бездействия (пять минут — это значение по умолчанию для многих коммутаторов). Ограничение по времени необходимо, поскольку коммутатор не обязательно видит какие-либо указания, когда сетевой узел перемещается или отключается.

Когда у моста или коммутатора не осталось места в его базе данных пересылки и поэтому он не может добавить запись для нового узла, он должен переслать любой кадр, адресованный этому узлу, через все порты, кроме того, на котором кадр был получен. Это распространенная проблема в сетях с большим количеством хостов. ^[1] Менее распространено искусственное затопление адресных таблиц при атаке затопления MAC-адресов .

Другой распространенной причиной является хост с тайм-аутом кэша ARP , превышающим тайм-аут базы данных пересылки (FIB) в коммутаторе — коммутатор забывает, какой порт подключен к цели, прежде чем хост забудет MAC-адрес цели. ^[2] Этого можно избежать, настроив коммутатор с тайм-аутом FIB, превышающим тайм-ауты кэша ARP узлов в его сети. Когда узлу необходимо отправить кадр хосту после истечения срока действия его соответствующей записи кэша ARP, он должен сначала отправить широковещательный кадр ARP, который коммутатор должен переслать через все порты, чтобы обнаружить (текущий) MAC-адрес хоста.

Неправильно настроенные функции сетей также могут привести к одноадресной рассылке. Если есть два пути уровня 2 от хоста A до B и хост A использует путь 1 для связи с хостом B, но хост B использует путь 2 для ответа хосту A, то промежуточные коммутаторы на пути 1 никогда не узнают MAC-адрес назначения хоста B, а промежуточные коммутаторы на пути 2 никогда не узнают MAC-адрес назначения хоста A. ^[3]

Последняя причина одноадресных наводнений — изменения топологии. Когда состояние соединения изменяется на сетевом порту, который участвует в быстром связующем дереве , кэш адресов на этом коммутаторе будет очищен, что приведет к переполнению всех последующих кадров со всех портов до тех пор, пока коммутатор не изучит адреса заново. ^[4]

Средства правовой защиты

Функция блокировки одноадресных наводнений доступна на коммутаторах Cisco, но не включена по умолчанию. После того, как вы убедитесь, что тайм-ауты и функции безопасности настроены для сохранения записей таблицы на портах клиентского доступа дольше, чем типичные тайм-ауты кэша хоста ARP , эта команда используется для подавления одноадресных наводнений на этих портах: ^{[5] [6]}

Switch(config-if)# switchport блокирует одноадресную передачу

Другие методы включают изоляцию хостов на уровне 2. Портам, настроенным как защищенные порты ^[7], запрещено взаимодействовать с другими защищенными портами. ^[8] Частные VLAN реализуют изоляцию портов таким образом, что членам VLAN разрешено взаимодействовать только через назначенный восходящий канал, и им не разрешено взаимодействовать с другими членами VLAN. ^[9]

Влияние на сети

Когда сеть подвергается одноадресному флудингу, производительность сети может ухудшиться. Вот график моста до и после корректировки размера кэша адресов моста: ^[1]

80% кадров были затоплены и никогда не были получены по адресу назначения, в то время как 20% были допустимым трафиком. В сетях с большим объемом затопленный трафик может привести к насыщению портов, что приведет к потере пакетов и высокой задержке.

Другим побочным эффектом исчерпанных адресных таблиц является компрометация данных. Вопросы безопасности обсуждаются в разделе MAC-флуд — одна из нескольких причин одноадресных флудов. Если конечный пользователь использует анализатор пакетов , флуд-фреймы можно перехватить и просмотреть.

Смотрите также

• Широковещательный, неизвестный одноадресный и многоадресный трафик

Ссылки

1. Rudy Rucker (2012-01-27). "Исправление для одноадресного флуда" . Получено 2021-03-08 .
2. Стивен Кинг (17.06.2009). "Unicast Flooding" . Получено 27.01.2012 .
3. "Устранение асимметричной пересылки и одноадресной лавины". Cisco Systems Inc. Получено 27.01.2012 .
4. Баладжи Сивасубраманиан (2004-09-10). "Устранение неполадок с одноадресной лавиной из-за топологии". Cisco Press . Получено 2012-01-27 .
5. Джереми Стретч (2010-06-04). "Блокирование неизвестного одноадресного потока". PacketLife.net . Получено 2012-01-27 .
6. "Блокировка одноадресной и многоадресной рассылки на портах" (PDF) . Получено 2024-07-09 .
7. "Настройка защищенного порта" . Получено 2024-08-10 .
8. Петр Лапухов (2008-07-14). "Private VLANs Revisited" . Получено 2012-04-07 .
9. "Настройка частных VLAN". Cisco . Получено 2012-04-07 .