ループ検知・MACフラッピング検知

概要  

この記事では、ループ検知とMACフラップ検知の仕組みと、それらを活用した監視やトラブルシューティングについて説明します。 

まず、これらの機能の重要性について理解することが重要です。  冗長化によって、リンクやネットワーク機器に障害が発生した場合のダウンタイムを短縮することができますが、時には複雑なネットワーク構成になってしまうことがあります。  このため、より多くのユーザーやアプリケーションに対応するためにネットワークが拡大するにつれて、ネットワークの管理、維持が難しくなります。 

冗長化における最大の課題の1つは、ループやブロードキャストストームが発生する可能性があることです。簡単な解決策の1つは、レイヤー2ループから保護するSTPを有効にすることです。ほとんどの場合うまくいきますが、BPDUの損失がある場合、レイヤー2ループは避けられません。この問題は

• 全二重/半二重の不一致 

• パケットの破損 (破損率が高い場合 BPDU の損失を招く可能性があります) 

• デバイスリソースのエラー (CPU使用率が高騰すると BPDU の送信が正常に行われない可能性があります。)

• ケーブル故障とSTPの設定ミス

これらの問題を検知するためにMeraki スイッチに実装されている ループ検知、MAC フラッピング検知機能を利用できます。

ループ検知 

ループ検知機能は Meraki スイッチではデフォルトで有効になっています。これはループ検出の制御パケットを送信し、それらを監視してループを検出し、Meraki ダッシュボードにイベントログ/SNMP トラップを生成します。

トポロジー内の全てのスイッチは定期的にブロードキャストプローブパケットを生成し、全てのアクティブな論理ポートから送出します。送信間隔はデフォルトで 10 秒です。これらのプローブパケットは、以下の 60 秒間のパケットキャプチャに示すように、ブロードキャストアドレス (ff:ff:ff:ff:ff), Cisco SNAP 組織コード (00:00:0c), SNAP PID 0x013c によって一意に識別されます。

もしスイッチがこのパケットを受信し、自分自身のマックアドレスが含まれていた場合、ダッシュボードにループを報告し、以下のようなイベントログを生成します。

イベントログは、最初にループが検出されたときにすぐに生成され、その後、同じ情報でイベントログが溢れることを避けるために、30秒ごとにログが生成されます。

MAC フラッピング検知  

MAC フラッピング検知は Meraki スイッチのデフォルトで有効になっています。この機能では MAC 転送テーブルを監視し、10秒以内に2つ以上の異なるポートで同じ MAC アドレスが3回以上学習された場合にダッシュボードに報告し、以下の画像のようなログを生成します。

注：上記の例では、MACフラップイベントは、クライアントがポート31に表示され、32に表示され、その後31に戻るときに発生します。これは、トポロジーにループがある、またはアクセスポイント間を行き来する挙動不審な無線クライアントを意味します。

補足事項

• STPによってブロックされているポートではループ検知機能によるログは記録されません

• ループが発生している場合、MACフラップのログも同時に生成されることがほとんどです

• これらの機能は検知のみであるため、これらの機能だけではブロードキャストストームから保護することはできません

• イベントログの報告は、スイッチの利用可能なCPUサイクルに依存します。ブロードキャストストームがひどい場合、CPUサイクルが利用可能になるまでイベントログはダッシュボードに報告されません。

• アクセスポイントがブリッジモードの場合、無線クライアントがスイッチのMACアドレステーブルの有効期限よりも早くアクセスポイント間を移動すると、MACフラップイベントログが表示されることがあります。