IPv6 MLD snooping

얼마전 일하다가 특정 스위치에서 (모델=Cisco Catalyst 3850-12S) CPU사용률에 부하가 걸렸던 이슈가 있었습니다.
show process cpu sorted detailed | exclude 0.0
이라고 치면 CPU사용률중에 높은것을 기준으로 정렬해서 보여주고 0.0인건 빼라.. 라는 명령어인데
process "NGCW L2M"이라는 놈이 CPU를 막 사용하고 있더라고요
구글링해서 뒤져보니 ipv6 mld snooping을 걸어주면 해결된다 하였고 해서 이 이슈는 해결이 되었습니다
자, 그래서 제목처럼 IPv6 MLD Snooping이란 커맨드...가 아니라 개념에 대해서 알아봐야겠습니다




1. Multicast
MLD는 Multicast Listener Discovery의 약자입니다. 우리말로 하면 멀티캐스트 수신자 발견정도 되겠네요
그럼 Multicast가 뭐냐!?!?

인터넷에 찾아보면 쉽게 볼 수 있는 그림입니다
그림그대로 다른 종류의 통신과 비교하면 더 쉽죠. 멀티캐스트는 1개도 아니고 전체도아닌 다수에게 전송하는 방식으로 이해하면 되겠습니다
그럼 이 다수의 기준은? 여기서 listener의 개념이 등장하면 맞을 듯 합니다. 수신을 원하는 다수에게 전송을 해야겠죠
일반적은 예로 방송을 예로 들면 되겠네요. 우리가 채널을 TVN으로 맞추면 이 동작이 "우리는 TVN을 수신할 준비가 되어있어"라는 뜻이고 이 신호를 보고 방송사에서는 해당 방송을 우리에게 송출하게 되죠
그럼 다시, 방금 이야기한 우리의 수신준비와 송출하기까지의 과정도 존재하겠죠? 자세한 방식은 다른 포스팅에서 하기로 하고 간단하게 이야기 하면 오늘 이야기할 MLD가 이 역할을 하게 됩니다
IPv4에서는 IGMP가 이와 유사한 기능을 하고 IPv6에서는 ICMPv6의 일부 기능이 이를 수행합니다





2. MLD
위에서 이야기했듯이 MLD는 멀티캐스트 그룹 관리용 프로토콜입니다 (IPv6에서)
MLD의 메세지 유형에는 MLQ, MLR, MLD 세가지가 있습니다
MLQ (Multicast Listener Query, 조회). ICMPv6 type 130. 특정 그룹에 참여하는 호스트가 있는지 확인 (라우터>호스트)
MLR (Multicast Listener Report, 보고). ICMPv6 type 131. 가입코자 하는 그룹의 멀티캐스트 주소를 밟히는 것 (호스트>라우터)
MLD (Multicast Listener Done, 종료). ICMPv6 type 132. 더이상 특정 멀티캐스트 수신을 원하지 않음 (호스트>라우터)
이렇게 나눌 수 있습니다.




3. MLD Snooping 개요
snooping 이라하면 보안에서 공격자의 용어로 친근합니다 저는... 그래서 그런지 개념을 이해하기가 많이 어렵습니다
어쨌든 시스코 문서를 뒤져보면
MLD Snooping은 스위치가 MLD 패킷을 검사하고 해당 컨텐츠를 기반으로 포워딩을 결장할 수 있도록 만들어주는 기능을 이야기합니다. MLD snooping 쿼리어(조회자 또는 조회하는 기기)나 MLD로부터 MLD쿼리를 수신하는 서브넷에 설정할 수 있다고 나와있습니다. 무슨말인지 어려우시죠? (저도 그렇습니다만..)
정리하면 MLD를 수신하거나 조회하는 기기 어느쪽에든 config가 가능하다. 이렇게 이해하면 될 것 같습니다
MLD snooping의 역할은 IPv6 multicast 트래픽을 수신하기 원하는 포트(2계층)들에 유동적으로 설정하여 multicast 트래픽을 제한하는 겁니다
[문서 그대로 번역했습니다만, 원래 멀티캐스트가 수신을 원하는 목적지로만 전송하는거 아닌가? IPv6는 좀 다를 수 있나봅니다]
정리하면, CPU부하율의 원인은 IPv6 multicasat traffic이다
ipv6 mld snooping으로 트래픽을 제한하였다
트래픽을 어떻게 제한하였냐.. 는 IPv6 멀티캐스트 알고리즘을 살펴봐야 겠습니다




4. IPv6 Multicast Group 가입


그림은 사실 별 쓸데없어 보입니다
IPv6 멀티캐스트 알고리즘을 보면 왜 Snooping이 트래픽을 제한하게 되는지 알 수 있습니다
1) 호스트는 ipv6 multicast router에 대한 응답으로 MLD report를 보내 그룹에 가입합니다
2) 스위치는 이러한 report를 스누핑합니다
3) 스누핑된 MLD report대한 응답으로 스위치는 report를 VLAN별로 묶어서 Layer2 포워딩 테이블에 저장합니다
4) 1)~3)의 과정으로 생성된 다른 report들을 VLAN별로 묶어서 하나의 테이블만 생성합니다
5) MLD 스누핑은 multicast 그룹별로 하나만 냅두고 나머지는 제한하고 남겨진 하나의 report 포워딩 테이블이 ipv6 multicast router로 포워딩 됩니다
요약하면, ipv6 mld snooping은 여러 호스트들을 vlan별로 묶어서 하나의 포워딩테이블로 요약하여 사용한다~ 이렇게 정리할 수 있겠네요. 이 snooping기능이 disable되어 있으면 호스트별로 multicast 포워딩테이블이 생성되어 중복처리로 cpu에 부하가 걸린다는 거죠





5. MLD Snooping Querier
이제 거의 다 왔습니다
멀티캐스트 트래픽을 라우팅할 필요가 없어서 PIM 및 MLD가 구성되지 않은 VLAN에서 MLD Snooping을 사용할 때 MLD Snooping Querier를 사용합니다
반대로 멀티캐스트 라우팅이 구성된 네트워크에서는 라우터가 MLD Querier역할을 합니다
MLD snooping이 enable되면 MLD snooping querier가 MLD 쿼리를 주기적으로 내보내는데 이 MLD쿼리가 멀티캐스트를 수신하기 원하는 스위치들로 부터 report 메세지를 송신하는 역할입니다




6. MLD Snooping Querier Configuration
config는 의외로 어렵지 않습니다. 
아래 cisco 홈페이지에서 발췌한 config 입니다.

Command
Purpose
Step 1
Router(config)# interface vlan vlan_ID
Selects the VLAN interface.
Step 2
Router(config-if)# ipv6 address prefix / prefix_length
Configures the IPv6 address and subnet.
Step 3
Router(config-if)# ipv6 mld snooping querier
Enables the MLD snooping querier.
Router(config-if)# no ipv6 mld snooping querier
Disables the MLD snooping querier.
Step 4
Router(config-if)# end
Exits configuration mode.
Step 5
Router# show ipv6 mld interface vlan vlan_ID | include querier
Verifies the configuration.


7. MLD Snooping configuration
이건 더 쉬워요

Command
Purpose
Step 1
Router(config)# ipv6 mld snooping
Enables MLD snooping.
Router(config)# no ipv6 mld snooping
Disables MLD snooping.
Step 2
Router(config)# end
Exits configuration mode.
Step 3
Router# show ipv6 mld interface vlan vlan_ID | include globally
Verifies the configuration.


댓글

댓글 쓰기

이 블로그의 인기 게시물

ping 일반오류 (General failure)를 고쳐보자

이미지
시작 일반적으로 인터넷이 안될 때 "ping" 명령어를 이용한다 이때 보게 되는 문구가 PING 전송하지 못했습니다. General failure 일반오류 요청 시간이 만료되었습니다 이것을 구분하려면 icmp의 속성에 대해서 조금 이해가 필요하다 다음은 일반적으로 가정집에서의 네트워크 구조이다 셋탑박스나 IPTV등이 빠져있으나 이번에는 그게 중요한게 아니니 패스 가정집 뿐 아니고 대부분의 경우 가운데 검정색 장비 즉 공유기. 이 공유기가 gateway 역할을 하게 되는데 이 gateway가 가장 중요하다 그래서 보통 인터넷이 잘 안되면 본인의 IP주소를 확인하고 gateway로 ping 체크를 시도한다 여기서 ping이란게 컴퓨터에서 공유기로 뭔가 신호를 보내서 시도하는걸 말하는데 컴퓨터 -> 공유기...   이런 개념이 사실 아니다. 핑 체크가 정상적으로 성공하면 위 그림중에 "192.168.1.10의 응답 바이트=32 시간<1ms TTL=64" 이런식으로 결과가 나오는데 이 결과 한줄이 신호의 왕복을 이야기한다 단순해 보이지만 아주 중요한 개념이다 그럼 이 이야기를 왜 하느냐? 위의 3가지 문구는 크게 2개로 분류할 수 있다. 컴퓨터 -> 공유기로 ping 시도한다는 가정하에 1. 컴퓨터 자신의 문제 2. 공유기의 문제 (LAN 케이블의 문제) 2번은 컴픂터 자신의 문제가 아닌경우 라고 요약할 수 있다 PING 전송하지 못했습니다. General failure 일반오류 이 2가지는 컴퓨터의 문제. 즉 1번 요청 시간이 만료되었습니다 이건 랜케이블 혹은 공유기의 문제이다 여기서 '문제'는 워낙 다양하기 때문에 뭐다! 라고 특정할 수 없다 장애마다 그 원인이 다 다를 수 있다. 빈도의 차이는 있지만 워낙 다양하다 그럼 어떻게 해
Read more »

Windows 10. 공유폴더 쉽게 삭제하기 (feat. CMD)

이미지
시작 IT 자산관리나 보안쪽 이슈중 하나인 보안감사가 있다 말그대로 정보보안을 얼마나 잘 지키면서 근무를 하나 감사를 실시하는건데 사실, 거창하게 서류를 뒤지고 하는 행위보다는 기본적인 보안사항에 대해 초점을 맞추고 진행하는 경우가 대부분이다 그중 가장 취약한 항목이 Windows에서 사용하는 공유폴더 얼마전 내가 근무하는 곳 중 한곳에서도 이것때문에 큰 일을 치뤘다 그래서 오늘은 Windows에서 내 PC에 설정된 공유폴더 리스트 확인 그리고 삭제하는 법등에 대해서 포스팅을 해본다 탐색기보다 COMMAND를 이용하자 탐색기가 마우스를 이용하는 익숙한 환경에 초보자도 쉽게 이용할 수 있다는 이미지가 있지만 공유폴더를 만들때는 그렇다 하지만 지울때는 COMMAND창에서 하는게 더 쉽다는 이야기 1. 공유폴더 확인 CMD창을 불러오는 방법은 윈도우 키를 누른 후 "cmd"라고 입력하면 한글로 명령프롬프트 라는 프로그램이 리스트업된다 이걸 실행하거나 [윈도우키]+[R]을 누른 후 명렁어 창에 "cmd"라고 입력하고 엔터를 누르면 된다 cmd를 실행한 후 위 화면처럼 net share 라고 입력하면 현재 나에게 설정되어 있는 공유폴더 리스트가 나온다 위 화면은 default로 설정되어 있는 폴더들이다. IPC$는 특히 보안에 취약하다. 원격 컨트롤 시 사용하게 되는 폴더로 공유기능 사용시 파이프 역할을 하는 폴더라고 생각하면 된다 만약 본인의 컴퓨터가 원격 데스크탑 서비스를 해야한다면 (원격 허용) 삭제하지 말아야 한다 2. 공유폴더 삭제하기 명령어는 간단하다 net share "공유이름" /delete 해서 위에는 net share ADMIN$ /delete라고 입력했는데 엑세스가 거부되었다고 나온다 무엇? 바로
Read more »

Piolink TiFront Switch password recovery (파이오링크 스위치 비밀번호 초기화)

이미지
파이오링크 TiFront G24 Switch 패스워드 초기화 방법 방법 생각보다 쉽다 1. 우선 스위치의 전원을 켜기 전 Console 연결까지 준비한다음 전원을 올린다 2. 전원을 키자마자 !를 열나게 누른다 즉 Shift + 1을 누른다는 이야기 그럼 위 화면처럼 새로운 프롬프트가 생성되며 Cisco의 ROMMON모드처럼 긴급모드로 진입한다 3. 명령어 setenv default_passwd yes saveenv 이렇게 입력하면 패스워드를 초기 패스워드로 설정하고 flash에 저장하게 된다 4. 시스코에서는 "boot"라고 입력했지만 여기선 run bootcmd 라고 입력해야 긴급모드에서 바로 부팅을 시도하게 된다 5. 가장중요하다 Default ID & Password는 root admin 생각보다 쉽다.
Read more »