6장 트랜스패런트 브리징

트랜스패런트 브리징

이더넷 스위치는 MAC 주소 테이블을 참조하여 이더넷 프레임을 목적지 방향으로 전송한다.
이때 MAC 주소 테이블을 만들고, 유지하며, MAC 주소 테이블을 참조하여 프레임을 전송하는 것을 트랜스패런트 브리징(transparent bridging)이라고 한다.

IEEE표준문서에 따르면 '브리징을 위해서 이더넷 프레임에 필드를 추가할 필요가 없고 사용자가 의식하지 못하게 자동으로 동작한다'는 의미로 정의되어 있다.

트랜스패런트 브리징 절차

처음에는 게이트웨이 역할의 스위치 MAC주소 테이블이 비어있다.

R1이 ARP 요청 프레임을 전송하면 스위치가 F1/1프트롤 통하여 출발지 MAC주소와 포트를 기록한다. 이를 러닝과정(learning, 학습)이라고 한다.

R1이 출발지 MAC 주소가 0000.0000.0001인 프레임을 전송하고 SW1은 F1/1포트를 통해 수신한다.

목적지 주소가 MAC 테이블에 존재시에는 해당 목적지 MAC 주소를 가진 유니캐스트(unicast) 프레임을 수신하면 목적지 포트로 프레임을 전송한다. 이 과정을 포워딩(forwarding)이라고 한다.

스위치가 MAC주소를 MAC 주소 테이블에 기록할 때 항상 타이머를 동작시킨다. 기본적으로 5분 동안 해당 MAC 주소가 출발지 주소로 설정된 프레임을 수신하지 못하면 스위치는 MAC 주소를 MAC 주소 테이블에서 제거한다. 이렇게 일정시간 프레임활동이 없으면 제거하는 과정을 에이징(aging)이라고 한다.

MAC 주소 테이블상에 출발지/목적지 MAC 주소가 동일한 포트에 소속되어있으면 해당 프레임을 차단한다. 이 과정을 필터링(filtering)이라고 한다.

허브는 수신한 프레임을 연결된 모든 포트로 플러딩시키므로 스위치에도 전송된다
p160부터 계속

MAC 주소 테이블 상에 출발지/목적지 MAC 주소가 동일한 포트에 소속되어 있으면 해당 프레임을 차단한다. 이 과정을 필터링(filtering)이라고 한다.

 

이와 같이 러닝, 플러딩, 포워딩, 에이징 및 필터링 과정이 모두 합쳐져 트랜스패런트 브리징 기능을 수행한다.

## MAC 주소 테이블

MAC 주소 테이블은 목적지 MAC 주소와 포트 번호가 기록된 테이터베이스로 스위치는 이것을 참조하여 수신 프레임을 전송한다.

스위치의 MAC 주소 테이블을 확인하려면 다음과 같이 show mac-address-table 또는 show mac address-table 명령어를 사용한다

# MAC 주소 테이블 보기.

sw1#show mac-address-table
Destination Address  Address Type  VLAN  Destination Port
-------------------  ------------  ----  --------------------
cc00.08cc.0000          Self          1     Vlan1
0000.0000.0003          Dynamic       1     FastEthernet1/3
0000.0000.0001          Dynamic       1     FastEthernet1/1
0000.0000.0002          Dynamic       1     FastEthernet1/2

# mac 주소 테이블 최대용량

sw1#show mac-address-table  count
NM Slot: 1
--------------
Dynamic Address Count:                 3
Secure Address (User-defined) Count:   0
Static Address (User-defined) Count:   0
System Self Address Count:             1
Total MAC addresses:                   4
Maximum MAC addresses:                 8192

MAC 주소 테이블에 저장된 MAC 주소는 많지 않은데 그 이유는 MAC 주소는 라우터나 L3 스위치 등 네트워크 계층 장비를 통과할 때마다 해당 장비의 MAC 주소로 변경되기 때문이다.

그러나 보안침해 등의 이유로 MAC 주소 테이블이 가득 찰 수 있다. MAC 주소 테이블이 차면 더 이상 기록할 수 없다. 이후 수신되는 새로운 목적지 MAC 주소를 가진 프레임들은 허브처럼 모두 플러딩된다. 이처럼 MAC 주소 테이블을 채우는 공격을 MAC 플러딩 공격(MAC flooding attack)이라고하며 흔히 일어나는 공격유형 중의 하나이다.

MAC 플러딩 공격을 방어하는 방법 중의 하나가 라우터, 서버 등 중요한 장비들의 MAC 주소가 플러딩되지 않도록 정적으로 MAC 주소 테이블을 만드는 것이다.

예를 들어 R1의 MAC 주소인 0000.0000.0001에 대해서 정적인 MAC 주소 테이블을 만드는 방법은 다음과 같다.

sw1(config)#mac-address-table static 0000.0000.0001 interface f1/1 vlan 1
1) 목적지 MAC 주소를 지정한다.
2) 목적지 MAC주소와연결되는 인터페이스 이름을 지정한다.
3) 목적지 MAC 주소가 소속된 VLAN 번호를 지정한다

원래 시스코는 라우터를 전문으로 제조하는 회사였다. 일부 스위치도 제조했지만 주력 스위치는 합병한 회사의 제품들이었다.
현재 카탈리스트(catalyst) 스위치는 모두 ISO를 사용한다. 그러나, 몇 년 전까지만 해도 IOS와 CatOS라는 를같이사용하였다. 특히 성능이 좋은 스위치들은 두 개의 OS를 동시에 지원하였다.
아직도 현업에서는 CatOS를 사용하는 곳이 제법 많이 있다.
스위치와 라우터에서 모두 동일한 OS를 사용하면 네트워크 관리자의 입장에서는 대단히 편리하다.
최신 OS 버전은 15.0이고 스위치는 12.2이다 IOS의 최신 버전 번호는 12.4 다음이 15.0이다