내부망이 갑자기 느려질때 ARP 꼬임 ? IP 충돌 ? 루핑 점검 순서

안녕하세요 보쌈 (보안을 알려주는 삼촌) 입니다.

오늘은 사내 네트워크 운영을 하다보면 어느날 갑자기

 

김주임! 인터넷이 너무 느립니다.

김주임! 내 PC만 접속이 잘 안된다.

김주임! 와이파이가 잡혔다가 안잡혔다가 그런다

 

이런말이 나올때, 우리 김주임은 어떻게 해결해야 할지 같이 논의해보자구요

내부망 문제일꺼 같기는 헌데, 회선이 문제일까?

 

자 인터넷에 전화하기 전에 김주임이 Check 해야할 3가지는

-> ARP 꼬였는지?

-> IP가 충돌 되었는지?

-> 스위치가 루핑 되었는지?

 

3가지는 증상은 비슷해보이는데, 원인이 완전히 다르고, 해결 포인트도 완전히 다르다.

오늘은 김주임이 사랑받을수 있게 바로 써먹을 수 있는 Troubleshooting 방법을 알려줄께

 

Chapter1. 장애 범위부터 나누자

증상은 동일 하더라도 범위를 확인 해야 한다.

PC한대에서만 발생하는지?

특정 팀에서만 발생 하는지?

특정 스위치에서만 발생하는지?

유선망에만 발생하는지? 무선망에도 또 지랄하는지?

인터넷만 느린지? 아니면 내부 인트라넷도 느린지?

 

요런걸 먼저 수집 해야 합니다.

한 두대만 문제면 ?? ARP가 꼬였거나 , IP가 충돌될 경우

여러대가 동시에 발생하면 ? 루핑이 가능성이 높다

 

Chapter2. ARP 꼬였을때 보이는 증상

ARP는 쉽게 말해, IP 주소를 MAC 주소로 찾아주는 역할입니다

예를 들면, IP 에 대응 하는 MAC 주소를 알아야 하는데 이때 ARP를 사용 합니다.

 

특정 PC만 인터넷 안되거나? 잠깐 되다안되다가 반복하거나? 게이트웨이가 흔들리거나? 재부팅하면 되거나

 

확인 해볼만한 사항은

게이트웨이 IP의 MAC 주소가 자주 바뀌거나

동일 대상에 ARP 항목이 불안정하거나

방화벽 , 스위치 , 서버 에서ARP 테이블이 흔들리거나

 

명령어

windows : arp -a
Linux : arp -n 
Linux : ip neigh

 

Chapter3. IP 충돌일때

말 그대로 두 장비가 같은 IP를 쓰는 경우다

 

발생하는 시나리오는

- DHCP 대역과 수동 고정 IP가 겹칠때

- 프린터 / CCTV / AP 와 같은 장비에 예정 IP가 남아있을때

- 중고 장비 / 초기화 장비를 가져와 그대로 연결

 

대표 장애 증상으로는

- 특장 장비만 통신이 되었다 안되었다

- 특정 시간에서만 증상이 심함

- 같은 IP가 서로 다른 MAC으로 보임

 

확인 사항

- 같은 IP에 서로다른 MAC이 번갈아보이면

 

Wireshark로 보면 필터 arp로 확인 가능 합니다

 

Chapter4. 스위치 루프 일때 보이는 증상

스위치 두 포트가 잘못 연결 될경우 발생 하고

대표적으로

- 전체 네트워크가 갑자기 느려지고

- 특정 VLAN 전체가 같은 증상

- 유선/무선 동시에 느려짐

- 스위치 CPU가 급상승

한 대가 이상한게 아니라, 네트워크 전체가 정신없어진 상태로 보면된다.

 

확인 방법

tcpdump -i eth0 -nn -e arp

- 같은 IP가 서로 다른 MAC으로 응답 하는가?

- ARP 요청/응답이 비정상적으로 많아질경우

 

같은 IP에 대한 MAC이 바뀌면 IP충돌 , ARP 흐름 자체가 비정상적으로 흔들리면 ARP 꼬임

 

 

스위치에서 MAC이 여러 포트에서 왔다갔다하면 MAC Flap이고 이는 스위칭 루핑일 가능성이 높다

 

Chapter5. 물리적 분리

의심 구간을 하나씩 분리 하는 것 부터 시작하자

 

오늘은 여기까지!