RadarURL
Skip to content
네트워크
2017.06.27 08:59

[Cisco] ARP CLEAR 네트워크

조회 수 13 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

■ 작성일 : 2010년 10월
■ 작성자 : http://blog.naver.com/thescream
■ 저작권 : 고생해서 정리한다. 퍼가더라도 링크하나 남겨주면 고맙겠다.
■ 참조링크
■ 첨부파일

 

현업에서 발생된 증상

똑같은 방화벽 장비를 교체하고 나서 방화벽 하단 PC에서 인터넷이 안되네.

방화벽에서 상단 스위치로 icmp 잘되는데...

상단스위치의 윗쪽에서 ping쏘니 안나가네.

 

내 pc

|

상단스위치 CISCO 6506


|

방화벽

|

고객 pc

 

머 이런식임. 방화벽 교체하고 설정값 같이 맞춰 줬는데 왜 안되나..

이리저리 쌩쇼를 다했는데...아놔아...

 

방화벽 교체하면서 이전 방화벽의 MAC을 상단스위치가 가지고 있어버려서 안되었네..

아놔아..

 

#clear arp-cache

 

이제 인터넷 된다.

 

인터넷에서 퍼온 자료보니 나와 같은 문제였군..ㅋㅋㅋ

 

-------------------------------------------------------------------------------------------

 

ARP cache, 너 땜에 못 살아!

 

새로운 방화벽 테스트를 위해 오래된 방화벽을 대체하는 작업을 진행하였다. 

새로운 방화벽 테스트를 끝내고 다시 원래의 방화벽으로 복구하였는 데 인터넷이 안되는 것이 아닌가!

아니 기존 방화벽을 다시 연결한 것인데 인터넷이 안되다니....

 

차근차근 네트워크 접근성 테스트를 ping으로 하기 시작했다. 일단 내부의 PC에서 기존 방화벽의 Trust인터페이스의 IP로 Ping 테스트 해보니 정상적으로 응답이 돌아왔다. 그렇다는 얘기는 내부 네트워크와 방화벽 연결은 정상적이라는 것이고 그 다음으로 내부 PC 에서 방화벽의 외부 Untrust인테페이스의 IP로 Ping 테스트를 하였다. 

마찬가지로 ping 응답이 돌아왔고 그렇다는 얘기는 방화벽의 물리적 연결은 정상적으로 구성되었다는 것.

그런데도 웹을 접속해 보면 안되는 것으로 봐서 DNS서버로 부터 웹 서버의 IP를 못 가져오는 지 알아보기 위해 DNS서버로 사용하고 있는 KT DNS 서버로 ping을 테스트하니 응답이 없었다. 그렇다면 방화벽 정책에 의해 KT DNS 서버로 Ping이 허용되지 않을 수 있기에 nslookup을 통해 DNS 서비스가 되는지 확인해 본 결과 응답이 없었다. 

그렇다면 방화벽 정책에 변화가 발생한 것인지 설정된 방화벽 정책을 확인한 결과 방화벽 정책에서는 내부 사용자들에게 DNS서비스가 나갈 수 있도록 허용되고 있었다. 일단 테스트를 위해 외부로 ping 서비스가 나갈 수 있도록 방화벽 설정을 한 후 트래픽 통과여부를 확인하기 위해 방화벽 로깅을 활성화 한 뒤 다시 KT DNS서버로 ping테스트를 실시했다.

방화벽 정책 로그에 ping request 패킷이 count되는 것이 보였으나 reply 패킷은 전혀 count되지 않고 있었다. 

로그 내용으로 보면 방화벽은 trust에서 들어온 ping request 패킷들을 정책에 의해 untrust로 나가도록 허용하고 실제로보내고 있다는 것인 데 도대체 이 패킷들이 어디에서 사라지는 것인가?

 

인터넷 회선이 문제가 생긴 건 아닌 지 방화벽 상단에 있는 L3 스위치에 접속하여 인터넷 회선의 상대편 IP로 Ping 테스트를 하니 정상적으로 응답이 왔다. 그렇다면 회선 상태도 정상적이라는 것인 데...

L3 스위치에는 인터넷 회선이 2회선 연결되어 있고 하나는 IPT 트래픽인 경우 전용으로 사용하도록 하고 나머지 회선은 데이터 전용으로 사용하도록 Policy Routing이 설정되어 있었다. 두 회선은 각각 하나의 회선이 Fail되었을 때 서로 백업할 수 있도록 구성되어 있었다. 인터넷 회선간 백업은 인터넷 사업자에서 다이나믹 라우팅 프로토콜을 이용하여 Routing 경로 fail을 감지하고 자동으로 전환될 수 있도록 구성되어 있었다. 

 

방화벽 내부에서 방화벽까지 정상적이고 L3 스위치와 인터넷 회선도 정상적이라면 도대체 무엇이 문제인가? 

방화벽의 정책에 의해 logging된 내용으로 보면 방화벽에서 상단 L3 스위치로 패킷을 보냈는데 L3 스위치에서 그 요청 패킷들은 어디로 사라지는 걸까? L3 스위치에서 확인할 수 밖에 없는 상황이었다. L3 스위치에 미러링을 설정하고 노트북의 와이어샤크 프로그램으로 덤프를 확인하니 정확하게 방화벽에서 L3 스위치로 패킷이 들어오고 있었다. 

그렇다면 L3 스위치를 통과해 나가는 Request 패킷들에 대해 응답 패킷들이 들어오지 않는 것은 인터넷 사업자의 라우팅이 꼬여서 일까? 이런 고민에 빠져 있었을 때 설마하며 L3 스위치에서 ARP cache를 확인해 보았다. 

앗! 이런 방화벽의 Untrust 인터페이스의 IP에 대해 MAC address를 확인해 보니 테스트를 위해 잠시 설치했던 방화벽 MAC 어드레스가 아닌가? 바로 Clear IP ARP를 실행하니 바로 통신이 정상화되었다. 이렇게 허무할 수가... 

다시 ARP cache를 확인해 보니 정상적으로 현재 연결된 방화벽 인터페이스의 MAC 어드레스가 올라왔다. 

 

도대체 이 ARP cache란 무엇인가?

 

IP 주소를 가진 호스트가 다른 IP 주소를 가진 호스트와 통신을 시작하려고 할 때, 가고자 하는 호스트에 해당하는 Ethernet상의 주소를 알아야 한다. 이 주소를 MAC 어드레스라고 하며 이 MAC 주소를 확인할 때 사용하는 프로토콜이 ARP(Address Resolution Protocol) 이다.  LAN상의 한 호스트는 내가 통신하고자하는 IP를 누가 가지고 있는 지를 물어보기 위해 LAN상에다가 "이 IP를 가진 호스트가 누구냐?"라고 방송(Broadcast)하게 된다. 이것이 ARP request 이며 LAN 상의 모든 호스트들은 이 ARP 요청 패킷을 보고 자신의 IP에 해당하는 지 확인하게 되면 자신의 IP와 같지 않으면 폐기하고 자신의 IP와 일치하면 자신의 MAC 주소를 소스 MAC 주소로 하여 ARP Request에 대해 물어본 호스트로 ARP Response를 보내게 된다. 

이렇듯 LAN상에서 두 호스트간 통신을 하기 위해서는 서로의 MAC주소를 확인해야 하는 과정이 반드시 필요하므로 매번 통신을 시작하기 전에 ARP Request와 ARP Response 패킷들이 LAN상에 범람하게 된다. 

 

이 ARP Request는 브로드캐스트이므로 LAN상에 있는 모든 호스트들은 이 요청 패킷을 받아드리고 자신의 IP인지를 확인해야 하므로 직접적으로 통신 상대가 아니어도 자신의 CPU자원을 소비할 수 밖에 없다. 그리고 Ethernet의 동작방식인 CSMA/CD방식에 의해 통신을 하기 위해서는 통신신호가 있는 지 없는 지를 확인하고 없을 때 통신을 시도하는 데 실제 통신이 아닌 ARP 패킷들로 넘쳐난다면 실제 통신을 제대로 할 수 없을 것이다. 또한 한번 통신한 상대방의 MAC 주소를 확인한 상태에서 또 다시 통신할 때마다 MAC를 확인할 필요가 있을까? 

 

이런 비효율적인 부분을 없애기 위해 도입된 것이 ARP cache 기능이다. 

일정기간 동안 통신하고자 하는 상대방 호스트의 MAC주소를 임시로 저장하고 필요할 때 바로 사용하자는 취지이다. 

이를 통해 ARP 트래픽을 줄일 수 있고 따라서 LAN상의 호스트들도 ARP Request 패킷들이 줄어든 만큼 CPU자원을 절약할 수 있을 뿐더라 LAN이 조용해 지기 때문에 실제 통신이 자유로워 지게 되어 전반적인 LAN 성능개선 효과를 얻을 수 있다. 

ARP cache는 무한정 가지고 있는 것은 아닌데 왜냐하면 MAC주소와는 달리 IP 주소는 사용자가 임의로 변경이 가능하기 때문에 일정 기간이 지나면 clear하게 되어 있다. 이 ARP cache가 clear될 때까지 경과 시간을 age라고 표현한다. 

 

근데 왜 ARP cache가 문제이지?

 

그럼 다시 본론으로 돌아와서 왜 이 ARP cahce가 문제를 일으켰던 것일까?

방화벽 전단에 위치한 장비는 시스코 L3스위치 장비이고 cisco의 default ARP aging time은 4시간이다. 

동일한 IP로 계속해서 통신이 이루어지고 있다면 Cisco 장비는 ARP cache가 expire되는 4시간 동안 캐쉬되어 있는 MAC 주소를 바로 사용하고 ARP request를 보내 NAC 주소를 갱신하지 않는다는 것을 말한다. 

따라서 새로 설치한 방화벽 장비를 빼고 원래의 방화벽 장비를 다시 설치했을 때 Cisco L3 스위치는 새로 설치된 방화벽의 MAC 주소를 가지고 있는 것이 아니라 기존의 방화벽 MAC 주소를 알고 있는 관계로 통신이 안될 수 밖에 없었던 것이다.

 

[출처] ARP cache, 너 땜에 못 살아!|작성자 넷닥터

 

출처 : http://blog.naver.com/thescream/170783405

TAG •
?

공부 게시판

공부에 도움되는 글을 올려주세요.

List of Articles
번호 분류 제목 글쓴이 날짜 조회 수
공지 [공지] 공부 게시판 입니다. 처누 2003.08.17 828655
2436 웹 프로그래밍 XE Content 위젯에서 비밀글이 나오도록 수정하기 JaeSoo 2017.09.21 18
2435 하드웨어 hdmi 1.4 <-> dvi dual link 케이블 지원 해상도 1 file JaeSoo 2017.09.19 7
2434 육아,교육 엄마 아빠가 실수로 하기 쉬운 말버릇 5가지 JaeSoo 2017.09.16 3
2433 육아,교육 아이 망치는 엄마의 무의식적 습관 50 JaeSoo 2017.09.16 3
2432 하드웨어 내장 및 외장 그래픽 카드 비교 (Desktop GPU Performance Hierarchy Table) JaeSoo 2017.09.12 13
2431 하드웨어 지포스/라데온 그래픽카드 성능 순위 (17년 05월) file JaeSoo 2017.09.12 10
2430 하드웨어 AMD 라데온 R9/ R7 200 시리즈 네이밍 어떻게 바뀌었나? file JaeSoo 2017.09.12 7
2429 연애 [정보] 남자 성기 크기가 중요한 이유 file JaeSoo 2017.09.06 24
2428 건강 여자들아 보지탐험 꼭 해봐라 (그림多) file JaeSoo 2017.09.06 21
2427 웹 프로그래밍 XE 인증메일을 gmail의 smtp로 보내기 JaeSoo 2017.08.30 8
2426 웹 프로그래밍 XE 1.7.4 업그레이드시 회원가입이 안되는 문제 해결법 1 JaeSoo 2017.08.28 17
2425 인터넷 페이스북 계정이 해킹당했는데 계정 삭제도 못하고 접속도 안되고 아무것도 못합니다. JaeSoo 2017.08.10 14
2424 윈도우즈 윈도우10 작업표시줄 프리징 먹통 해결방법 file JaeSoo 2017.07.21 17
2423 윈도우즈 윈도우 속도 저하, 시스템 파일 손상, 이유없는 오류 - SFC, DISM으로 복구/해결 방법 file JaeSoo 2017.07.21 12
2422 생활 멜론 평생 무료로 스트리밍하는 방법 (feat.데이터 함께쓰기,SKT만 가능) file JaeSoo 2017.07.02 93
» 네트워크 [Cisco] ARP CLEAR 네트워크 JaeSoo 2017.06.27 13
2420 네트워크 윈도우에서 arp cache 삭제/초기화 하는 방법 JaeSoo 2017.06.27 8
2419 취미 Xbox 360 본체에서 사용되는 게임 등급 시스템 JaeSoo 2017.06.21 16
2418 취미 XBOX 360 이미지 브라우져와 iso2god 질문입니다. JaeSoo 2017.06.21 15
2417 유닉스/리눅스 CentOS 7 리눅스 방화벽(firewalld) 포트 포워딩(Port Forwarding) JaeSoo 2017.06.20 15
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 122 Next
/ 122

 

■ 즐겨찾기 - 가족
JAESOO's HOMEPAGE YOUNGAE's HOMEPAGE 장여은 홈페이지 장여희 홈페이지 장여원 홈페이지

■ 즐겨찾기 - 업무
알리카페 홀릭 숭실대 컴퓨터 통신연구실 (서창진) 말레이시아 KL Sentral 한국인 GuestHouse

■ 즐겨찾기 - 취미
어드민아이디 유에코 사랑회 아스가르드 좋은사람/나쁜사람 JServer.kr 제이서버 메타블로그 재수 티스토리

■ 즐겨찾기 - 강의, 커뮤니티
재수 강의 홈페이지 한소리 VTMODE.COM 숭실대 인공지능학과 숭실대 통신연구실


PageViews   Today : 1,029   Yesterday : 2,182   Total : 60,255,543  /  Counter Status   Today : 255   Yesterday : 517   Total : 3,057,216
Site Info   Member : 1,382  /  Total documents : 7,029   New documents : 1  /  Total comments : 502

design by by JAESOO.com

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소