2계층: 데이터 링크 계층

특징

• 전기 신호를 모아 알아볼 수 있는 데이터 형태로 처리하는 계층

• 주소 정보를 정의하고 정확한 주소로 통신이 되도록 직접 연결된 네트워크 장치 간의 데이터 전송을 담당한다.

• 과거에는 2계층 장비에서 에러를 탐지하고 고치거나 재전송했지만, 최근에는 에러를 탐지하기만 한다.

• 출발지와 도착지 주소를 확인하여, 데이터를 받았을 때 도착지가 내 자신인지 확인한 후 데이터를 처리한다.

• L2 통신

  • 동일한 네트워크 상에 존재하는 단말끼리 통신하는 경우 3계층 네트워크 장비의 도움 없이 통신 가능하다.

  • 이 때 네트워크 장비에서는 2계층까지만 정보를 확인하고 통신한다.

프레임

• 2계층에서 주고 받는 데이터

• 프레임의 헤더에는 송신 및 수신 장치의 주소가 포함되고, 트레일러에는 오류 검출을 위한 오류 검출 코드가 포함된다.

MAC 주소

• Media Access Control

• 이더넷과 와이파이를 포함한 대부분의 IEEE 802 네트워크 기술에서 2계층 주소로 사용된다.

• 스위치가 프레임을 주고받을 때 사용하는 주소이다.

• 48비트의 16진수 12자리로 표현된다.

  • 앞 24비트는 OUI라고 하여 IEEE가 제조사에 할당한 제조사 코드이다.

  • 뒤 24비트는 UAA라고 하여 각 제조사에서 자체적으로 할당해 네트워크에서 장비를 구분하게 해주는 부분이다.

• MAC 주소는 중복될 수 있으나, 동일 네트워크에서만 중복되지 않으면 문제가 없다. 왜냐하면 네트워크가 다른 경우 라우터를 통해 패킷이 넘어가는데, 이 때 기존 출발지와 도착지의 MAC주소가 변경되기 때문이다.

• 네트워크에 접속하는 모든 장비는 물리적인 MAC 주소가 필요하다.

• MAC 주소는 네트워크 카드/장비 생산 시에 하드웨어적으로 부여된 BIA(Burned-In Address)이지만, 소프트웨어적으로 메모리에 적재된 MAC 주소를 변경할 수 있다.

기능

flow control

• 서버는 데이터를 보낼 때 받는 사람이 현재 데이터를 받을 수 있는지 확인한다.

• 만약 스위치가 데이터를 받지 못하는 상황이라면 통신 중지를 요청한다.

• ARP 프로토콜로 IP 주소를 MAC주소로 변환해, MAC 주소 기반으로 통신한다.

• 프레이밍(Framing), 흐름 제어, 오류 제어, 접근 제어, 동기화 기능을 제공한다.

STP

• Spanning Tree Protocol

• 보통 SPoF를 예방하기 위해 스위치를 두 개 이상 두는 방식으로 디자인하는데, 이 때 루프가 생기면 찾아내기가 어렵고 네트워크에 문제가 발생할 수 있다.

루프

• 네트워크에 연결된 모양이 고리처럼 되돌아오는 형태로 구성된 상황을 의미한다. 패킷이 네트워크를 따라 무한으로 전송될 수 있다.

• 루프 상황이 발생하면 네트워크가 마비되고 통신이 안될 수 있다.

• 대부분 브로드캐스트 스톰으로 인해 발생한다.

  • 루프 구조로 네트워크가 연결된 상태에서 브로드캐스트를 발생시키면, 스위치는 패킷이 유입된 포트를 제외한 다른 포트들에 플러딩한다. 플러딩된 패킷은 다른 스위치로도 보내지는데, 이 때 패킷이 유입된 포트를 제외하고 또 모든 포트에 플러딩한다.

  • 2계층 헤더에는 3계층의 TTL과 같은 라이프타임 메커니즘이 없어 루프가 발생하면 패킷이 죽지 않고 계속 살아남아 패킷 하나가 전체 네트워크 대역폭을 차지할 수 있다.

• 직접 전달되는 패킷과 스위치를 돌아 들어간 패킷 간의 포트가 달라 MAC 주소를 정상적으로 학습할 수 없다. 즉 동일한 MAC 주소가 여러 포트에서 학습되어 MAC 테이블이 반복 갱신되는 MAC 주소 플래핑이 발생한다.

동작 방식

• STP 방식은 루프를 자동 감지해 포트를 차단하고 장애 때문에 우회로가 없을 때 차단된 포트를 스위치 스스로 다시 풀어준다.

• 스위치는 BPDU(Bridge Protocol Data Unit)라는 프로토콜을 통해 스위치 간에 정보를 전달하고 이렇게 수집된 정보를 이용해 전체 네트워크 트리를 만들어 루프 구간을 확인한다.

• 스위치 포트에 신규 스위치가 연결되면 일단 바로 트래픽이 흐르지 못하도록 차단한다. 그리고 해당 포트로 트래픽이 흘러가도 되는지 확인하기 위해 BPDU를 기다려 학습하고 구조를 파악한 후, 루프 구조가 아닌 경우에만 트래픽을 허용한다.

• 스위치 포트의 상태는 다음과 같이 존재한다.

  • Blocking

    • 패킷 데이터가 차단된 상태로, 상대방이 보내는 BPDU를 기다린다.

    • Max Age(20초) 기간 동안 상대방 스위치에서 BPDU를 받지 못했거나 후순위 BPDU를 받았을 때 포트는 리스닝 상태로 변경된다.

    • BPDU의 기본 교환 주기는 2초이고 10번의 BPDU를 기다린다.

  • Listening

    • 포트가 전송 상태로 변경되는 것을 결정하고 준비하는 상태이다. 자신의 BPDU 정보를 상대방에 전송한다.

    • 15초동안 대기한다.

  • Learning

    • 패킷 포워딩이 일어날 때 스위치가 곧바로 동작하도록 MAC Address Learning 작업을 진행한다.

    • 15초동안 대기한다.

  • Forwarding

VLAN

• 물리적 배치와 상관없이 LAN을 논리적으로 분할, 구성하는 기술이다.

• 한 대의 스위치에 연결되더라도 서로 다른 VLAN이 설정된 포트 간에는 통신할 수 없다.

• 물리적으로 스위치를 분리할 때보다 효율적으로 장비를 사용할 수 있다.

• VLAN으로 분할된 스위치는 물리적인 별도의 스위치처럼 취급된다.

• 유니캐스트, 멀티캐스트, 브로드캐스트 모두 L3 장비를 거쳐 통신해야 한다.

• 여러 개의 VLAN이 존재하는 상황에서 여러 스위치를 연결해 VLAN끼리 통신하려면 VLAN 개수만큼 포트를 연결해야 한다.

  
• 과도한 브로드캐스트로 인한 단말들의 성능 저하, 보안 향상을 위한 차단 용도, 서비스 성격에 따른 정책 적용과 같은 이유로 네트워크를 분리할 때 사용된다.

• VLAN 간의 통신이 필요하다면 서로 다른 네트워크 간의 통신이므로 3계층 장비가 필요하다.

포트 기반 VLAN vs MAC 주소 기반 VLAN

• 포트 기반 VLAN

  • 스위치를 논리적으로 분할해 사용하는 것이 목적이다.

  • 스위치의 특정 포트에 VLAN을 할당하여 분할 가능하다.

  • 일반적으로는 포트 기반 VLAN 방식을 사용한다.

• MAC 주소 기반 VLAN

  • 스위치의 고정 포트에 VLAN을 할당하는 대신 단말의 MAC 주소를 기반으로 VLAN을 할당할 수 있다.

  • 단말에 따라 VLAN 정보가 바뀌므로 Dynamic VLAN이라고 부른다.

  • 사용자의 이동성을 요구하는 환경에서 점차 사용되고 있다.

태그

• 여러 스위치에 걸쳐 VLAN을 사용하는 경우, 각 스위치에 VLAN마다 연결시키기 위한 포트를 사용해야 한다.

• 이를 해결하기 위해 태그 포트를 따로 두어 스위치 간 통신을 담당하도록 한다. 즉, 하나의 태그 포트에서 여러 개의 VLAN 통신이 가능하다.

• 이에 따라 일반적인 포트는 언태그 포트 혹은 액세스 포트라고 불린다.

• 태그 포트로 패킷을 보낼 때는 VLAN ID를 붙이고, 수신 측에서는 이 VLAN ID를 제거하면서 VLAN ID의 VLAN으로 패킷을 보낼 수 있다.

• 이 기능으로 인해 MAC 주소 테이블에 다른 VLAN끼리 통신하지 못하도록 VLAN을 지정하는 필드가 추가되었다.

• 언태그 포트로 패킷이 들어올 경우 같은 VLAN으로만 패킷을 전송하고, 태그 포트로 패킷이 들어올 경우 태그 정보에 들어있는 VLAN 쪽으로 패킷을 전송한다.

• 가상화 서버가 연결되어 여러 VLAN과 통신해야 하는 경우에는 서버와 연결된 스위치의 포트이지만 태그 포트로 설정한다.

장비

NIC (Network Interface Card)

• PC나 서버를 네트워크에 연결해주는 카드나 인터페이스를 지칭한다.

• 여러 네트워크에 동시에 연결되어야 하거나 높은 대역폭이 필요한 경우 여러 NIC을 장착한다.

• 단말이 여러 NIC을 가지게 되면 여러 개의 MAC 주소를 가지게 된다.

• 고유 MAC 주소를 가지며 목적지 MAC 주소가 NIC의 MAC 주소와 동일하면 올바르게 도착한 데이터이므로 상위 계층에서 처리할 수 있도록 메모리에 적재한다.

• 동작 방식

  • 전기 신호와 데이터 형태를 변환한다.

  • 목적지 MAC 주소와 출발지 MAC 주소, 네트워크 인터페이스 카드의 MAC 주소를 확인한다.

  • 목적지 MAC 주소와 네트워크 인터페이스가 가진 MAC 주소가 맞으면 데이터를 처리하고, 아니면 데이터를 폐기한다.

• 고성능 NIC

  • 보통 PC나 노트북에서는 1GbE NIC을 사용하지만, 서버나 네트워크 장치에는 고성능을 가진 10G 이상의 NIC을 사용한다.

  • 패킷 생성과 전송을 CPU 도움 없이 독자적으로 처리한다.

  • L3 스위치 기능이 내장되어 있어 가상화 서버들끼리 연결하는 vSwitch를 가속하는 기능을 제공하는 NIC도 존재한다.

• 무차별 모드

  • 기본적으로는 패킷의 목적지가 자신의 MAC 주소가 아니면 패킷을 폐기하지만, 무차별 모드를 사용하면 자신의 MAC 주소와 상관없는 패킷이 들어와도 이를 분석할 수 있도록 메모리에 올려 처리한다. Wireshark과 같은 분석 툴에서 사용된다.

스위치

• 여러 단말이 한꺼번에 통신할 수 있어 통신하기 위해 기다리거나 충돌 때문에 대기하는 문제가 해결되고 네트워크 전체의 통신 효율성이 향상된다.

• 단말이 어떤 주소를 갖고 있는지 Address Learning 과정을 통해 확인하여, 단말의 MAC 주소와 연결된 포트를 기반으로 통신 시 포트를 적절히 필터링하고 포워딩해준다.

• 단말의 주소인 MAC 주소와 단말이 위치하는 인터페이스 정보를 매핑한 MAC 주소 테이블을 관리한다.

• 허브와 달리 목적지 주소에만 신호를 전달한다. 단, 테이블에 없는 도착지 주소를 가진 패킷이 스위치로 들어오면 스위치는 전체 포트로 패킷을 전송한다.

• 스위치의 적절한 필터링과 포워딩 덕분에 통신이 필요한 포트만 사용하고 네트워크 전체에 불필요한 처리가 감소하여 이더넷 기반 네트워크가 급증하는 계기가 되었다.

동작 방식

• 플러딩

  • 패킷이 들어온 포트를 제외하고 모든 포트로 패킷을 전달한다.

  • 허브와 같이 동작한다.

  • MAC 주소 테이블에 매칭되는 목적지 MAC 주소 정보가 없으면 모든 포트에 같은 내용의 패킷을 전송한다.

  • 이더넷-TCP/IP 네트워크에서는 ARP 브로드캐스트를 미리 주고받은 후 데이터가 전달되므로, 실제로 데이터를 보내고 받을 때는 스위치가 패킷을 플러딩하지 않는다.

  • 스위치에게 엉뚱한 MAC 주소를 습득시키거나 스위치의 MAC 테이블을 꽉 차게 해 스위치의 플러딩 동작을 유도할 수 있다. 아무 이유없이 스위치가 패킷을 플러딩한다면 스위치가 정상적으로 동작하지 않거나 주변에서 공격이 수행되는 상황인 것이다.

  • 다음 그림을 보면 MAC 주소 테이블에 Eth6에 매핑되는 이상한 맥주소만 두어 플러딩을 유도할 수 있다.

    
• Address Learning

  • MAC 주소 테이블을 만들고 유지하는 과정이다.

  • 패킷이 특정 포트에 들어오면 스위치에는 해당 패킷의 출발지 MAC 주소와 포트 번호를 MAC 주소 테이블에 기록한다.

  • 출발지의 MAC 주소 정보를 사용하므로, 목적지 MAC 주소에만 사용되는 브로드캐스트나 멀티캐스트에 대한 MAC 주소를 학습할 수 없다.

  • 사전에 MAC 주소 정보를 미리 정의할 수 있다. 대부분 스위치 간 통신을 위해 사용되는 주소를 저장한다.

• Forwarding / Filtering

  • 패킷이 스위치에 들어온 경우, 도착지 MAC 주소를 확인하고 자신이 가진 MAC 테이블과 비교해 맞는 정보가 있으면 매치되는 해당 포트로 패킷을 포워딩한다.이 때 다른 포트로는 패킷을 보내지 않으므로 필터링한다고 부른다.

  • 유니캐스트에 대해서만 포워딩, 필터링 작업이 수행된다.