728x90
728x90
SMALL
※ 상황 : 특정 시간에 트래픽이 몰리는 이슈 발생
🔍 의심할 수 있는 트래픽 원인
- 백업 작업: 정해진 시간(10:20~10:40)에 자동 백업이 실행되는지 확인
- 업데이트 다운로드: Windows 서버의 자동 업데이트 또는 패치 배포
- 클라이언트 동기화 작업: 네트워크 드라이브, OneDrive, Google Drive 같은 동기화 서비스
- 악성 트래픽: 비정상적인 대량의 패킷이 특정 서버에서 발생 (DDoS, 감염된 PC)
✅ 스케줄링 변경
- 만약 백업, 동기화, 업데이트가 원인이라면 야간 시간대로 조정
📌 트래픽이 많다 기준 ?
- L3 스위치 포트 대역폭 사용률이 7~80% 이상
- PPS(패킷 전송 속도) 10,000PPS 이상
- 브로드캐스트 트래픽이 5~10% 이상
- 지속 시간 5~10분 이상
분석 순서
1️. 기본적인 트래픽 체크 (필수)
★ 명령어 : display interface brief -> 트래픽 많은 포트 찾기
- InUti : 수신 트래픽(%)
- OutUni : 송신 트래픽(%)
- Input Rate / Output Rate: 현재 포트의 트래픽 속도 (bps)
★ 명령어 : display counters rate -> 트래픽 많은 포트 순위 확인
- 현재 인터페이스별 트래픽 속도(5초 단위 평균)
- 비정상적인 트래픽 증가 감지 기능
결과 예시
1) display counters rate 실행해서 트래픽이 대역폭의 몇 % 인지 확인하기
★명령어 : display counters rate
결과예시
분석
Ten-GigabitEthernet1/0/1 포트:
Input rate: 8,000,000,000 bps (8Gbps) / Output rate: 8,500,000,000 bps (8.5Gbps)
대역폭: 10Gbps / 대역폭 사용률 = (8Gbps / 10Gbps) * 100 = 80%
-> 이 포트는 대역폭의 80%를 사용하고 있음. 기준에 따르면 80% 이상이므로 과부하가 발생할 수 있는 상태!
과부하 상태 판단
Ten-GigabitEthernet1/0/1 포트는 **80%**의 대역폭을 사용 중이기 때문에, 트래픽이 과부하 상태로 접어들기 시작했을 가능성이 있음.
Output rate가 Input rate보다 조금 더 높으므로, 출력 속도가 높은 트래픽을 확인할 필요가 있음.
2) 전체 대역폭 확인 방법
전체 대역폭(링크 속도)은 인터페이스의 속도로 확인 가능, 각 포트는 고정된 속도(ex. 1Gbps, 10Gbps, 100Gbps)를 가짐
★ 명령어 : display interface Ten-GigabitEthernet 1/0/1
결과예시
★ 명령어 display interface brief -> 모든 포트의 링크 속도 확인
→ 💡 여기까지 하면 원인 포트를 어느 정도 파악 가능!
추후 포스팅 작성 예정
- 실시간 트래픽 모니터링
- 미러링 설정 후 WireShark 패킷 캡처
- ACL을 설정하여 특정 IP 트래픽 모니터링
728x90
728x90
LIST
'Infra' 카테고리의 다른 글
| 인프라 아키텍처 (1) | 2025.03.08 |
|---|---|
| NAC(Network Access Control) 이란? (0) | 2025.03.01 |
| Cisco L2 스위치 기본 설정 (0) | 2025.02.26 |
| L2 Switch, PuTTY와 콘솔 연결을 이용해 CLI 사용 (0) | 2025.02.25 |
| 허브와 스위치 차이 및 비교 (0) | 2025.02.23 |
