作家
登录
17滚动

浅谈数据中心网络泛洪技术

作者: 来源: 2017-12-11 16:21:26 阅读 我要评论

开辟者大年夜赛路演 | 12月16日,技巧立异,北京不见不散

搞收集技巧的人对泛洪这个概念应当不陌生,本质上是收集设备将大年夜某个接口上收到的数据大年夜除本接口之外的设备所有接口发送出去,之所以产生如许的情况是因为数捷报文在收集设备转揭橥中无法找到与数据包目标地址一致的表项,此时就将数据包赶紧有接口发送出去,以期找到目标主机来吸法术据包,可以懂得为二层转发行动。有人对这种转发明象叫泛洪,也有人叫做洪泛,是一个意思。泛洪技巧不须要收集设备保持收集的拓扑构造和相干路由表项,仅请求接收到信息的节点以广播方法转发数据包,然后级联设备传递下去。泛洪在数据中间收集中是一种常见现象,很多时刻泛洪转发都是良性的,对收集无影响。以太网标准对收集设备的请求也是许可流量有短时光的泛洪,尤其是框式设备是弗成避免的,只要在极短的时光内就停止泛洪,都是一种正常的收集现象。

浅谈数据中间收集泛洪技巧


大年夜技巧实现上来看,很轻易将泛洪和流量广播混淆。其实,两者有着本质差别。广播报文的目标地址是全捕鱼户,应用广播地址,在所有端口发送数据包,行动是主动的,可以懂得为三层的行动,在很多协定的交互过程中都要用到广播。比如:ARP进修,当不知道目标IP地址对应的MAC地址时,就经由过程广播ARP报文来获取;DHCP协定获取地址,每次向DHCP办事器获取地址时,都要经由过程广播方法发出,等待DHCP办事器的回应,还有OSFP/BGP/ISIS的Hello报文,LLDP/STP/VRRP等协定的状况监测报文,固然目标地址不是广播的,而是组播地址,其实也是采取广播的方法发送的。泛洪的目标地址不是广播地址,针对具体的单播地址,只是在收集设备膳绫腔有查找到转揭橥项,所以才有泛洪行动,这也是和以太网尽力去转发的主旨相符的。广播本质就是要全网转发的,而泛洪是一种转发查找的结不雅,是一个被动产生的结不雅,我们当然欲望收集中泛洪的流量越少越好。广播报文如不雅处理不好,轻易占用过多收集带宽,甚至引起广播风暴,对收集营业造成严重影响,而泛洪报文如不雅处理不好,也会占用过多收集带宽,对收集营业造成影响,有时收集带宽虽没有被占满,过多的无用流量冲向了办事器,也会对办事器的转发机能造成影响,导致营业处理特别慢,直至营业中断。广播和泛洪,两者对收集的影响比较类同。

数据中间的收集是许可泛大水量存在的,确切地说应当是做不到完全避免,尤其在转揭橥项建立之前,流量就是依附泛洪来进修的,当进修到完全的转揭橥项之后,泛大水量天然消掉。在最新的收集技巧中,比如VXLAN技巧中,也是应用了泛洪模式进行地址进修,目标是为了进修VTEP和MAC的对应关系。当然,在EVPN情况中,节俭掉落泛洪的进修过程。数据中间的收集要具有必定的收集带宽冗余,避免流量出现短时的泛洪,将带宽打满,影响到正常流量的交互。数据中间的收集流量长时光的泛洪有两个来源:一是收集构造特别或者收集设备出现问题,转揭橥项在收集设备上长时光进修不到,产生大年夜量的流量泛洪;二是出现泛洪进击,很多收集进击办法也是应用泛洪的特点来实现的。比如:SYN泛洪进击,是应用捏造的IP地址向被进击端设备发出请求,而被进击端设备发出的响应报文将永远发送不到目标地,被进击端在等待封闭这个连接的过程中消费了资本,如不雅有成千上万的┞封种连接,主机资本将被耗尽,大年夜而达到进击的目标;UDP泛洪进击是进击者发送大年夜量的UDP包给办事器,办事器发送大年夜量答复;ARP报文泛洪类似于UDP泛洪,同样是恶意用户发出大年夜量的ARP报文,造成三层收集设备的ARP表项溢出,影响正常用户的转发。长时光的流量泛洪对收集的伤害是巨大年夜的,消费掉落大年夜量的收集带宽资本,让正常的收集营业无法转发,甚至导致全部数据中间的收集陷入瘫痪。

泛洪的现象产生的原因和进击类型八门五花,每种情况的泛洪大年夜技巧上来讲都是有差其余,所以须要差别对待。正因为如许,对于不合的进击类型,也是有响应的预防办法的。为了抵抗泛洪进击的入侵,数据中间收集可以针对不合类型的泛洪制订响应预防办法。比较有效的方法就是晋升收集设备的防进击机能,同时增长收集过滤,根据RFC 2827里关于过滤应用的描述,安排针对输入源的过滤,ISP拒绝将一个源IP地址不属于其来源子网的数据包进行更远路由。还可以增长专用防火墙,对各类收集协定进击进行过滤,保护后面的收集设备免受干扰。还有,将广泊竽暌跪缩小,比如采取全三层转发互连的方法,避免产生广泊竽暌跪,如许即便有泛洪产生,因为广泊竽暌跪很小,对收集带宽的┞芳用也不会很严重。具体在克制泛洪方面,已经有不少的技巧实现可参考,在此不再一一胪陈。


我们要理性对待泛洪这个现象,固然泛洪的现象给数据中间造成的伤害是巨大年夜的,但也不要对泛洪谈虎色变,只有产生持续性的流量泛洪才能对收集营业带来本质性影响。当一个数据中间的统??没有增长新营业的情况下,带宽应用率却持续降低瓯,就要留意是否有长时光的流量泛洪产生。当一个数据中间同一个广泊竽暌跪中的办事器拜访速度都开端变慢时,也要查看是否有泛洪产生,断定是否产生了泛洪办法也很简单,只要将标记本经由过程网线接入到收集设备的随便率性端口上,进行抓包,如不雅转发到了大年夜量的持续性的,并非转发到标记本连接端口的报文,就证清楚明了流量泛洪的产生,这时就要根据泛洪的产生原因,采取响应的解决办法,尽快清除流量泛洪,减轻收集带宽的┞芳用。

【编辑推荐】

  1. 2018年数据中间行业的猜测
  2. 关于软件定义数据中间(SDDC)的收集安然分析
  3. 若何让数据中间资产的审计加倍高效?
     1/2    1 2 下一页 尾页

      推荐阅读

      网站404谁都见过 你知道为啥是404么?

    开辟者大年夜赛路演 | 12月16日,技巧立异,北京不见不散 每当浏览网页出现“404缺点”时,我们都知>>>详细阅读


    本文标题:浅谈数据中心网络泛洪技术

    地址:http://www.17bianji.com/lsqh/39667.html

     1/2    1 

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

进入专栏
精彩导读
栏目ID=71的表不存在(操作类型=0)
科技快报
© 2013-2016 IT技术  京ICP备11016124号-4   

京公网安备 11011202000261号
网站介绍 合作联系 寻求报道 投稿指南 网站地图 XML地图