长亭百川云 - 文章详情

为啥威努特工业交换机可以快速抑制网络广播风暴?

威努特安全网络

107

2024-07-13

前言

随着信息技术的迅猛发展,人们的日常生活和企业的运营管理越来越依赖各种不同的信息系统,网络作为信息技术中的基础设施,显得尤为重要。

在日常生活中,网络与我们的生活紧密关联;在企业运作方面,网络更是扮演着不可或缺的角色。从内部管理到外部合作,从生产流程到市场营销,企业都需要依靠网络来实现信息共享和协同工作。通过构建企业内网和外网,企业可以实现各部门之间的快速沟通,提高工作效率。

一个高效的信息系统需要一个稳定可靠的网络来支撑。在网络规划建设阶段和日常运行维护阶段,经常听到一个词“广播风暴”,其破坏力堪比勒索病毒对信息系统产生的危害,一旦网络中产生广播风暴,整个网络将会面临瘫痪。本文将重点分析广播风暴产生的原因、及其产生的危害和防护措施,基于威努特网络产品线,构建高可用的计算机网络。

一、  广播风暴产生的原因

广播风暴故障发生时,网络性能下降,甚至网络瘫痪,影响企业的生产和服务,并对网络安全构成威胁。探讨广播风暴发生的根本原因,需要从交换机的转发原理说起。

1.1  交换机转发原理

无论是在OSI模型还是在TCP/IP模型中,数据链路层有一个很重要的功能就是基于MAC地址来寻址,交换机在进行二层转发时,基于数据帧中封装的MAC地址来将数据转发到对应的端口。

图1:数据帧结构

如上图所示,在交换机中传输的数据,在数据链路层,会封装6Byte的目的MAC地址(D.MAC)、6Byte的源MAC地址(S.MAC)。以下图中的数据为例,封装的目的MAC为:24:E8:E5:67:62:0C,封装的源MAC地址为:40:1C:83:38:15:3F。

图2:数据帧分析

交换机的转发过程可以简单归纳为:基于源地址的学习,基于目的地址的转发。交换机从某个端口接收数据帧,会学习该数据帧中源地址(S.MAC),并将源地址与端口进行绑定,从而生成一张MAC地址转发表(FDB表:Forwarding Database Table 转发数据库表)。

图3:交换机MAC地址表示例

交换机在转发数据时,会检查数据帧中的目的MAC地址(D.MAC),对比转发表,将数据转发到交换机对应的端口。

图4:交换机转发过程

如上图中,PC A给PC C发送数据时,会将PC C的MAC地址作为目的地址封装到数据帧中,交换机在收到数据后,解析数据帧中的目的MAC地址,同时对比转发表,将该数据帧发送到目的MAC地址对应的端口G0/0/3。

1.2  交换机对数据的处理方式

交换机对帧的转发操作行为一共有三种:泛洪(Flooding),转发(Forwarding),丢弃(Discarding)。

图6:交换机数据处理方式

**泛洪:**交换机把从某一端口进来的帧通过接收端口之外的其它的端口转发出去。

**转发:**交换机把从某一端口进来的帧通过另一个端口转发出去。

**丢弃:**交换机把从某一端口进来的帧直接丢弃。

1.3  数据帧的类型

网络中的数据帧可以分为单播帧,多播帧,多播帧可以分为广播帧和组播帧。

图7:数据帧类型

广播帧是一类特殊的帧,其封装的目的MAC地址为:FF:FF:FF:FF:FF:FF,交换机在接收到广播帧之后,会将广播帧进行泛洪处理,即将广播帧从除接收端口之外的其他所有接口转发。

在交换网络里面,不是所有的广播都是不正常的,有一些应用必须使用广播,如ARP解析,这是正常的广播。但是一旦网络形成了环路,将会导致广播帧在网络内不停的复制和转发,造成网络瘫痪等危害。

1.4  广播风暴的形成

为了保证网络的可靠性,在网络设计中实现冗余,主要手段是添加备份链路和备份设备。综合成本考虑,增加链路的方式相对来说既能满足低投入的要求,同时还能满足网络冗余设计要求。环网就是一种网络冗余的实现方式。

环网带来网络冗余的同时,也会带来一些其他问题,如广播风暴的问题。

图8:广播风暴的形成过程

如上图所示,当网络形成环路之后,交换机在接收到广播报文时,基于交换机的转发原理,会将广播报文进行泛洪,因此交换机A会将报文通过两条路径发送出去,在经过环网中的每一个交换机之后,广播报文通过两条路径重新回到交换机A,此时交换机会重复这一过程,因此导致该报文在网络中无限的复制、不停的转发。由此形成广播风暴。

二、  广播风暴的危害

2.1  网络拥塞

一旦形成广播风暴,可以在短时间内摧毁整个交换网络,使所有交换机处于满负荷运行的状态,交换机只转发广播报文,广播报文占据交换机端口的全部带宽,交换机转发芯片、CPU、缓存等硬件资源全部处理广播报文,正常的网络流量将被堵塞。

对应到用户终端上,由于网卡在被迫不断处理大量的广播帧,终端会呈现网络传输速度极为缓慢或者不能通信的状态。

2.2  MAC地址表震荡

在广播风暴发生时,由于广播报文在两个相反的方向上传输,将会影响到MAC地址表的正常工作。以上图中交换机B为例,当交换机B接收到来自于交换机A发送的广播报文,学习到的MAC地址对应到连接A交换机的端口,当交换机B接收到来自于交换机C发送的广播报文,学习到的MAC地址对应到连接C交换机的端口。因此,同一个MAC地址在交换机B的MAC地址表中不断变化,无法达到稳定状态。交换机需要耗费更多的资源来处理这些MAC地址表的更新,同时不正确的MAC地址表,会导致正常需要转发的数据在网络中无法正常寻址而丢失。

2.3  缓冲区溢出

在广播风暴发生时,广播报文不仅仅在交换机之间传输,还会向连接到交换机的终端进行转发,接入到交换机的主机会收到大量的广播报文,网卡在面对突发大量的广播报文时,会影响主机的正常工作,严重时还会使得主机缓冲区溢出,导致主机宕机的情况。

图9:缓冲区溢出

三、  广播风暴的应对措施

3.1  开启环路检测功能

环路是产生广播风暴的必要条件,威努特全系列管理型交换机支持环路检测功能,开启该功能之后,交换机将主动发送报文检测指定端口是否存在网络环路,一旦存在环路,该端口将关闭(Shut down),从而断开环路,避免广播风暴的形成。

图10:威努特交换机环路检测功能

在网络建设阶段和后期的运行过程中,通过该功能,可以有效的避免各种有意、无意的操作导致的环路,从而避免广播风暴的发生。

3.2  划分VLAN隔离广播

VLAN(虚拟局域网)技术,可以将物理网络划分为多个逻辑网络,实现广播域的隔离。在实际组网过程中,合理划分VLAN,限制广播信息的传播范围,降低广播风暴对网络的影响。

图11:VLAN划分

通过将网络划分为不同的VLAN,将广播报文限定在一定范围之内,即使发生了广播风暴,只能影响整个网络的一部分,而不是整个网络都不可用。

3.3  开启风暴控制

威努特全系列管理型交换机支持风暴控制功能。交换机对于未知单播(数据帧中的目的MAC地址,不在交换机MAC地址表中)、未知多播(未开启IGMP/IGMP snooping功能)、广播报文等均采用泛洪的方式进行处理,威努特交换机可以分别对不同的报文配置限速功能,限制泛洪处理的报文速率,保证有效的数据传输效率。

图12:威努特交换机风暴控制功能

3.4  开启WNT-ring环网保护协议

为了实现网络冗余,同时又需要避免链路冗余带来的广播风暴,大部分的管理型交换机支持STP/RSTP/MSTP等冗余协议,通过对交换机部分端口的状态进行改变(阻塞和转发),将物理上形成环路的网络“修剪”为逻辑上无环的树状结构。这一类协议在网络发生故障到链路切换恢复正常,根据网络的规模不同,切换时间从50秒到1秒左右。

在对实时性要求很高的网络,如工厂的制造车间、电厂的DCS系统中,能够容忍的中断时间都在毫秒级。显然这一类冗余协议不能满足现场使用要求。

威努特管理型交换机支持基于IEC62439-2标准的WNT-Ring快速环网保护协议,通过主动的链路状态检测、交换机转发表快速更新、链路质量检测等手段,能够实现<20ms的环网自愈。

图13:威努特环网协议

结语

威努特WIS系列工业级交换机产品和WES以太网交换机产品,接口形态多样,功能丰富,产品线覆盖接入、汇聚、核心,满足工厂自动化、石油化 工、市政交通、电力、煤炭、水利水务等工业场景,满足中小企业、医疗、教育、网吧、酒店、安防监控、运营商IP城域网、政企网、大型园区网等商业应用场景,可以为不同的用户搭建可靠安全高效的计算机网络。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2