LAN의 중심 스위치 이야기.

Presentation on theme: "LAN의 중심 스위치 이야기."— Presentation transcript:

1 LAN의 중심 스위치 이야기

2 목 차 허브와 스위치 계층에 따라 스위치 구분하기 스위치의 몇몇 기능 이해하기 스위치 여러대 연결하기 Network

3 허브와 스위치 네트워크 장비를 연결해 주는 허브 수십 수백 포트의 스위치 4포트 허브 허브(Hub)?
네트워크에 존재하는 컴퓨터와 장비들을 연결해 주는 장비 수십 수백 포트의 스위치 4포트 허브 Network

4 허브의 구조와 동작 원리 네트워크 에서의 허브와 스위치 구성 인 터 넷 라우터 허브/스위치 허브/스위치 Network

5 허브의 구조와 동작 원리 허브의 동작 원리 허브는 기본적으로 프레임이 입력된 포트를 제외하고 모든 포트로 프레임을 내보내게 됨. 아래의 그림에서는 3번 포트로 입력된 프레임이 3번을 제외한 1,2,4 번으로 모두 나가고 있음을 나타냄. A B C D 출발지 : C의 MAC 목적지 : A의 MAC 내부버스 1 2 3 4 입력된 패킷의 목적지 MAC 이 자신이 아니므로 B와 C는 버려버림 Network

6 스위치의 구조와 동작 원리 스위치의 구조 연결된 물리적 포트 내부에 그물망 같은 엇갈린 길이 논리적으로 존재 1 2 3 4
스위칭 구조 (Switching Fabric) A B C D Network

7 스위치의 구조와 동작 원리 실제 스위치 구조 스위칭 구조의 Fabric 은 “직물, 편물”의 뜻을 가지고 있음.
보통 스위치를 나사를 풀고 내부를 보게 되면 Chip 형태가 대부분임. 주요 업체는 마벨( 이나 브로드 컴 ( 임. 1 2 3 4 스위칭 칩(Chip) A B C D Network

8 스위치의 구조와 동작 원리 스위치의 동작 원리 스위치는 기본적으로 스위치가 가지고 있는 정보 (어떤 포트에 어떤 MAC 이 존재하는지)에 따라 동작 이 동작 과정은 이후에 스위치 STP(Spanning Tree Protocol) 를 이해하는데 중요한 요소임. 1 2 3 4 스위치가 가지고 있는 정보 PORT MAC A의 MAC B의 MAC C의 MAC D의 MAC A B C D 출발지 : A의 MAC 목적지 : C의 MAC Network

9 스위치의 구조와 동작 원리 MAC 정보를 배우는 Learning 과정
MAC 정보가 없어 여러포트로 다 보내는 경우는 “Flooding”이라는 용어를 사용 2. 스위치의 MAC 정보 확인, 없으면 허브 처럼 2,3,4 번으 로 프레임 전송과 동시에 컴퓨터 A 의 MAC 정보 기록 PORT MAC :06:C4:00:01:A1 1. 프레임 입력 출발지 : 00:06:C4:00:01:A1 목적지 : 00:E0:00:BA:67:57 1 2 3 4 A B C D 00:06:C4:00:01:A1 00:08:32:00:12:21 00:E0:00:BA:67:57 00:C0:02:DB:5F:4C Network

10 스위치의 구조와 동작 원리 MAC 정보에 따라 전달하는 Forwarding 과정
전송, 전송과 동시에 컴퓨터 C 의 MAC 정보 기록 PORT MAC 00:06:C4:00:01:A1 :E0:00:BA:67:57 1 2 3 4 A B C D 00:06:C4:00:01:A1 00:08:32:00:12:21 00:E0:00:BA:67:57 00:C0:02:DB:5F:4C 1. 프레임 입력 출발지 : 00:E0:00:BA:67:57 목적지 : 00:06:C4:00:01:A1 Network

11 스위치의 구조와 동작 원리 Learning 된 정보에 따라서 필요시 Filtering
2. 목적지인 컴퓨터 A의 MAC 은 입력된 이미 1번 포트에서 Learning이 된것이므로 Filtering 되어 버린다. 다만 Learning 작업은 계속되어 컴 퓨터 E의 MAC 정보가 갱신된다. PORT MAC 00:06:C4:00:01:A1 00:E0:00:BA:67:57 :0A:E1:00:10:C3  새로이 갱신 1. 프레임 전송 출발지 : 00:0A:E1:00:10:C3 목적지 : 00:06:C4:00:01:A1 1 2 3 4 A B C D 00:06:C4:00:01:A1 00:08:32:00:12:21 00:E0:00:BA:67:57 00:C0:02:DB:5F:4C 허브 E 00:0A:E1:00:10:C3 스위치 Network

12 HTTP, SMTP, POP3, FTP, Telnet….
계층에 따라 스위치 구분하기 스위치를 구분할때는 사용되는 계층 HTTP, SMTP, POP3, FTP, Telnet…. 응용 계층(Layer 7) 응용 계층 표현 계층(Layer 6) TCP, UDP 세션 계층(Layer 5) 전송 계층(Layer 4) 전송 계층 IP, IPX, Appletalk 네트워크 계층(Layer 3) 인터넷 계층 MAC 데이터링크 계층(Layer 2) 네트워크 접근 계층 물리 계층(Layer 1) OSI 참조모델 TCP/IP 프로토콜 Network

13 Layer 2 스위치 MAC 정보를 기반으로 하는 Layer 2 스위치 2. 목적지 MAC 주소는 ? 출발지 MAC 주소는?
어떤 포트로 보내야 하나? Layer 2 스위치 1.트래픽 입력 출발지 : 00:06:C4:00:01:A1 목적지 : 00:E0:00:BA:67:57 Network

14 Layer 3 스위치 3계층의 IP, IPX, Appletalk 정보를 기반으로 하는 Layer 3 스위치
라우팅 정보가 있나? 어디로 보내야 하지? Layer 3 스위치 1. 트래픽 입력 출발지 : 목적지 : Network

15 Layer 4 스위치 4계층의 TCP/UDP Port 정보를 기반으로 하는 Layer 4 스위치 2. 어떤 서버로 보낼것인가?
해당하는 정보가 있는가? 서버는 살아 있는가? Layer 4 스위치 서버 1 :80 서버 2 :80 서버 3 :80 1. 트래픽 입력 출발지 : :1723 목적지 : :80 Network

16 Layer 7 스위치 5~7계층의 응용계층의 프로토콜 정보를 기반으로 하는 Layer 7 스위치 2. 어떤 서버로 보낼것인가?
해당하는 정보가 있는가? 서버는 살아 있는가? Layer 7 스위치 1. 트래픽 입력 출발지 : :1723 목적지 : :80/images/1.gif 정적 컨텐츠 서버들 *.gif, *.html, *.jpg등 동적 컨텐츠 서버들 *.cgi, *.perl, *.jsp , %%%%% Network

17 Layer 7 스위치 보안 역할로서의 Layer 7 스위치 2. DoS Attack 방어, HTTP, SMTP 헤더에 있는
Nimda, Codered 성 패킷 차단 Layer 7 스위치 1. 트래픽 입력 출발지 : :1723 목적지 : :80/root.exe? 서버들 1 서버들 2 Network

18 스위치의 몇몇 기능 이해하기 1.802.1q의 가상랜 2.802.3ad의 Link Aggregation
4.포트미러링 Network

19 802.1q의 가상랜 불필요한 패킷이 전달되는 전체 네트워크
특별한 조치가 없는 네트워크에서는 네트워크의 모든 트래픽이 네트워크에 전달되어 불필요한 패킷이 네트워크를 차지하게 된다. 규모가 커질수록 많은 양을 차지하게 됨. 스위치 재무관리팀 기술팀 연구소 영업팀 의 MAC 이 뭐지요? Network

20 802.1q의 가상랜 불필요한 트래픽 전달을 막아주는 가상랜(VLAN)
불필요한 패킷 전달이 필요없는 단위로 네트워크를 논리적으로 구분하여 효율적인 네트워크를 구별하는 것. VLAN 3 - Port 9~14 VLAN 2 - Port 3~8 VLAN 4 - Port 15~16 VLAN 1 - Port 1~2 스위치 재무관리팀 기술팀 연구소 영업팀 의 MAC 이 뭐지요? Network

21 802.1q의 가상랜 보안적인 측면에서의 VLAN VLAN 이 없는 구성에서는 일반적으로 특별한 방법이 없이도 네트워크에서 많은 컴퓨터들로 접근이 가능해 진다. Network

22 802.1q의 가상랜 보안적인 측면에서의 VLAN 부정한 접근(?) 또는 의도하지 않은 접근(?) 의 문제가 발생 스위치
생활기록부 서버 (학생성적, 각종 평가 내용) 학생 선생님 기말고사 시험문제등 각종 자료 Network

23 802.1q의 가상랜 보안적인 측면에서의 VLAN VLAN 을 이용하여 부정한 접근(?) 또는 의도하지 않은 접근(?) 의 문제를 해결 할수 있음. VLAN 1(학생) - 1~8 VLAN 2(선생님) - Port 9~16 스위치 학생 선생님 Network

24 802.1q의 가상랜 VLAN 의 종류 포트 기반의 VLAN 프로토콜 기반의 서브넷 기반의 VLAN VLAN
물리적인 포트를 기준으로 구분 프로토콜 기반의 VLAN 서브넷 기반의 VLAN IP, IPX, Appletalk 등을 기준으로 구분 IP의 서브넷 대역을 기준으로 구분 * 기타 : 장비들이 가지고 있는 MAC을 일일이 등록하는 MA 기반의 VLAN도 있음. Network

25 802.1q의 가상랜 동일 VLAN 이 다른 스위치에 존재할때 VLAN 마다 직접 연결? 스위치 1 스위치 2 학생 선생님
Network

26 802.1q의 가상랜 하나의 연결에 VLAN 정보를 실어 보내는 802.1q VLAN Tagging
스위치 1 스위치 2 VLAN ID = 2 학생 VLAN 2 선생님 VLAN 3 학생 VLAN 2 선생님 VLAN 3 Network

27 802.1q의 가상랜 꼬리표(Tagging)를 붙이는 두가지 방법 일반적인 이더넷 프레임 6 6 2 46~1500 4
목적지 주소 출발지 주소 길이/타입 데이터 프레임체크섬 (FCS) 802.1q 꼬리표 붙은 프레임 6 6 4 2 46~1500 4 목적지 주소 출발지 주소 VLAN정보 길이/타입 데이터 프레임체크섬 (FCS) 시스코의 ISL 헤더가 붙은 프레임 26 64~1518 4 ISL 헤더 원래의 이더넷 프레임 프레임체크섬 (FCS) Network

28 802.1q의 가상랜 다른 네트워크와 통신을 하게 해주는 라우터 192.168.1.x/24 -> 192.168.1.1
와 같이 각 네트워크에 대한 정보를 가지고 있는 라우터 라우터 Port Port Port 스위치 Default VLAN 1 /24 학생 VLAN 2 /24 선생님 VLAN 3 /24 Network

29 802.1q의 가상랜 Layer 3 라우팅 기능을 이용한 VLAN간의 통신
x/24 -> x/24 -> x/24 -> 와 같이 각 네트워크에 대한 정보를 가지고 있는 스위치 VLAN VLAN Layer 3 스위치 VLAN Default VLAN 1 /24 학생 VLAN 2 /24 선생님 VLAN 3 /24 Network

30 802.1q의 가상랜 실제 스위치에서의 Layer 3 기능을 이용한 통신 각 VLAN 에 IP 설정하기 3개의 VLAN이 각각
Network

31 802.3ad의 Link Aggregation 일반적인 스위치에서의 스위치간의 연결 100Base-TX 포트 스위치 1
Category 5 UTP 케이블 단방향 최대 100Mbps 스위치 2 100Base-TX 포트 Network

32 802.3ad의 Link Aggregation 포트를 두개 이상을 동시에 사용하여 포트 사용량을 높힘 X 스위치 1 스위치 1
스위치 2 X 장애 단방향 최대 200Mbps 스위치 2 Network

33 802.3ad의 Link Aggregation Link Aggregation 에 대한 업체들 마다 다른 용어 스위치 1
포트 트렁킹 (3COM, 노텔, 알카텔, 파운드리등) 스위치 2 이더채널 (시스코등) 로드 쉐어링 (익스트림등) Network

34 802.3ad의 Link Aggregation 실제 네트워크에서 Link Aggregation 의 예 포트 그룹 2
포트 9, 10, 11, 12 포트 그룹 1 포트 1, 2 스위치 1 포트 그룹 1 포트 1, 2, 3, 4 포트 그룹 1 포트 1, 2 스위치 2 스위치 3 Network

35 802.1d의 스패닝 트리 프로토콜 잘못하면 뺑뺑이가 되는 스위치
달 컴퓨터 ( , 00:06:C4:00:00:01) 스위치 1 1 2 3 4 8 스위치 2 1 2 3 4 8 마토 컴퓨터 ( , 00:06:C4:00:00:02) Network

36 802.1d의 스패닝 트리 프로토콜 뺑뺑이를 막아주는 스패닝 트리 프로토콜 00:06:C4:00:00:01
달 컴퓨터 스위치 1의 BPDU Root ID : 80:00:00:06:C4:00:00:01 Root Path Cost : 0 Bridge ID : 80:00:00:06:C4:00:00:01 스위치 1 00:06:C4:00:00:01 1 2 3 4 8 스위치 2 00:06:C4:00:00:02 1 2 3 4 8 스위치 2의 BPDU Root ID : 80:00:00:06:C4:00:00:02 Root Path Cost : 0 Bridge ID : 80:00:00:06:C4:00:00:02 마토 컴퓨터 Network

37 802.1d의 스패닝 트리 프로토콜 스패닝 트리 프로토콜에서 주고 받는 BP여 구성요소 구 분 내 용
구    분 내  용 Root ID (8바이트) 스위치들중에서 먼저 Root(중심) 가 될 스위치의 ID로 처음에는 스위치가 부팅되면 처음에는 자기 자신을 나타냄 Root ID는 2바이트의 중요도+스위치의 MAC 으로 구성 예 - 80:00:00:06:C4:20:02:02 Root Path Cost (4바이트) Root 스위치 까지 가는 경로의 값 Bridge ID (8바이트) BDPU를 보내는 스위치의 ID, Bridge ID도 2바이트의 중요도(Priority)+8 바이트 스위치 MAC으로 구성 Port ID (1바이트) BPDU를 보낸 스위치의 Port ID로서 포트 중요도(0~255)와 포트 번호. 포트 중요도는 기본값 128로 16진수 80 으로 표시하여 1번 포트는 8001 이 됨. Max Age (2바이트) Root 스위치로부터 BPDU를 받지 못했을때 죽었다고 판단하는 시간 (기본 20초) Hello Time (2바이트) 몇초마다 BPDU를 보낼것인지의 간격 (기본 2초) Forward Delay (2바이트) 스패닝 트리의 각 과정에서 소요되는 시간 (기본 15초) Network

38 802.1d의 스패닝 트리 프로토콜 Cost 는 같지만 Port ID 때문에 포트 2가 Blocking
달 컴퓨터 Root 스위치 (브리지) 스위치 1 00:06:C4:00:00:01 1 2 3 4 8 Port ID : 8001 Cost : 19 스위치 2 00:06:C4:00:00:02 Port ID : 8002 Cost : 19 1 2 3 4 8 Blocking 마토 컴퓨터 Network

39 802.1d의 스패닝 트리 프로토콜 스패닝 트리 Cost 값 대역폭 스패닝 트리 Cost 값 4 Mbps 250 10 Mbps
100 16 Mbps 62 45 Mbps 39 100 Mbps 19 155 Mbps 14 622 Mbps 6 1 Gbps 4 10 Gbps 2 Network

40 802.1d의 스패닝 트리 프로토콜 스패닝 트리에 의한 포트 변화 1. Listening 4. Blocking
포트가 연결이 되면 BPDU 만 보내고 받고 데이터를 포워딩 하지 않는다. 1. Listening 15초 (Forward Delay) 20초 (Max Age) BPDU 를 주고 주고 받으며, MAC 정보를 업데이트까지 한다. 그렇지만 트래픽 전송은 하지 않는다. 4. Blocking 2. Learning 오로지 BPDU 만 수신한다. 15초 (Forward Delay) 3. Forwarding 정상적인 통신 상태 Network

41 모니터리을 위한 포트 미러링 포트 미러링을 통한 트래픽 복사 인 터 넷 라우터 스위치
스위치를 사용하면 스위치에서 특정포트의 트래픽을 모니터링 장비로 보내주어야만 한다. 예) 미러링 5 -> 4 모니터링 장비 (패킷 분석기, 침입탐지시스템, 로그분석기등) Network

42 스위치 여러대 연결하기 UTP 하나로 연결하기 라우터 스위치 1 UTP 크로스 케이블 (100Mbps) 최대 거리는 100m
스위치 2 스위치 3 라우터 UTP 크로스 케이블 (100Mbps) 최대 거리는 100m Network

43 스위치 여러대 연결하기 포트 트렁킹과 광 케이블 라우터 스위치 1 광 케이블 (1Gbps) 최대 거리는 수백m~수Km
스위치 2 스위치 3 Network

44 스위치 여러대 연결하기 포트 트렁킹과 광 케이블 라우터 스위치 1 UTP 포트 트렁킹 (200Mbps) 최대 거리는 100m
스위치 2 스위치 3 라우터 UTP 포트 트렁킹 (200Mbps) 최대 거리는 100m Network

45 스위치 여러대 연결하기 포트가 많은 모듈형 스위치 알카텔의 Omni 시리즈 파운드리의 BigIron 시리즈
시스코의 Catalyst 시리즈 Network

46 스위치 여러대 연결하기 스태킹 스위치 (점점 사라지는 추세) 고속의 스카시 케이블로 연결한 스위치 Network

47 마치며 꼭 기억해야 할 것들 LAN 의 중심 스위치 이야기 허브는 리피터 처럼 단순하게 동작
스위치는 조금 복잡하게 동작 : Learning, Forwarding, Flooding, Filtering 스위치는 내부의 스위치 패브릭에서 포트당 대역폭을 할당한다. 네트워크에서 L2/L3 스위치 그리고 이제는 L4/L7 스위치까지도 알아야 한다. 물리적인 스위치를 논리적으로 여러대의 스위치로 구분하는 가상 랜 (VLAN) 여러 개의 포트를 동시에 사용하여 대역폭을 확장하는 Link Aggregation 네트워크 뺑뺑이를 막아주는 스패닝 트리 프로토콜(Spanning Tree Protocol) Network