قاتل پنهان در شبکه های سازمانی: چگونه از حلقه های شبکه در سوئیچ ها و روترها جلوگیری کنیم

در زیرساخت‌های فناوری اطلاعات سازمانی — چه در مراکز داده، شبکه‌های کنترل صنعتی یا دفاتر سازمانی باشد — مشکلات قطع ارتباط بسیار رایج هستند. بسیاری تصور می‌کنند که «افت شبکه» ناشی از سیگنال ضعیف یا پهنای باند ناکافی است. اما اغلب، مقصر واقعی بسیار مخرب‌تر است: یک حلقه شبکه متکی هستند.

یک حلقه شبکه می‌تواند سوییچ گیگابیت لایه 3، روتر سازمانی، یا حتی یک سوییچ صنعتی PoE+ را به یک تولیدکننده طوفان تبدیل کند، شبکه را سیل‌آسا کند و تجهیزات حیاتی مانند سرورها، نقاط دسترسی و سیستم‌های کنترل PLC متکی هستند.

بیایید بررسی کنیم که یک حلقه شبکه واقعاً چیست، چگونه سوییچ‌ها را از کار می‌اندازد و چه اقدامات پیشگیرانه‌ای می‌توانید برای محافظت از تجهیزات شبکه سازمانی متکی هستند.

یک حلقه شبکه زمانی رخ می‌دهد که یک مسیر بسته در توپولوژی اترنت شما وجود داشته باشد — بسته‌ها بدون اینکه هرگز راه خروجی پیدا کنند، بی‌پایان در گردش هستند.

سناریوهای رایج عبارتند از:

• اتصال متقابل چندین سوییچ‌های اصلی یا سوییچ‌های PoE+ در یک حلقه (A → B → C → A).

• پچینگ تصادفی بین دو پورت در یک سوییچ.

• دستگاه‌هایی مانند دوربین‌های IP، کنترل‌کننده‌های صنعتی PLC یا نقاط دسترسی WiFi 6 با دو پورت شبکه که پل‌های ناخواسته را تشکیل می‌دهند.

در تجهیزات شبکه اترنت، هیچ مکانیسم داخلی برای جلوگیری از این امر وجود ندارد. بدون محافظت مانند STP (پروتکل درختی پوشا)، حلقه‌ها باعث ایجاد طوفان‌های پخش می‌شوند که پهنای باند و منابع پردازشی را مصرف می‌کنند.

هنگامی که یک حلقه تشکیل می‌شود، بسته‌های پخش و چندپخشی به طور بی‌پایان در سراسر سوییچ‌ها، ماژول‌های SFP و رابط‌های فرستنده و گیرنده (مانند ماژول‌های 10G SFP+ یا فرستنده‌های نوری QSFP 40G SR4 اساسی).

عواقب عبارتند از:

• جداول آدرس MAC به طور مداوم بازنویسی و سرریز می‌شوند.

• کارت‌های شبکه و کنترل‌کننده‌های رابط شبکه اترنت از ارسال بسته‌ها متوقف می‌شوند.

• کاربران تاخیر شدید، خرابی تخصیص IP یا قطعی کامل شبکه را تجربه می‌کنند.

حتی سوییچ‌های مرکز داده رده بالا مانند Cisco Catalyst 3850 Series، Huawei CE6857E-48S6CQ-B یا Juniper QFX5210 می‌توانند تحت یک طوفان پخش از کار بیفتند.

CPUهای سوییچ به 100٪ استفاده می‌رسند و حافظه به سرعت پر می‌شود — که منجر به قفل شدن یا راه‌اندازی مجدد دستگاه متکی هستند.
این امر بر سرورهای رک متصل مانند Lenovo ThinkSystem SR650 V2، HPE ProLiant DL380 Gen11 یا سرورهای مقیاس‌پذیر 1U Xeon نیز تأثیر می‌گذارد و برنامه‌های حیاتی کسب‌وکار را مختل می‌کند.

حلقه‌های شبکه به ندرت ناشی از سخت‌افزار معیوب هستند. آنها تقریباً همیشه خطاهای انسانی یا پیکربندی هستند:

• سوییچ‌های بدون مدیریت بدون تشخیص حلقه (مانند سوییچ‌های گیگابیت بی‌صدا اساسی).

• غیرفعال کردن STP/RSTP/MSTP متکی هستند.

• تجمع نادرست EtherChannel / LACP.

• اتصال نادرست ماژول‌های فرستنده و گیرنده SFP، کابل‌های breakout DAC یا کابل‌های نوری فعال QSFP28 100G SR4 متکی هستند.

• اتصال نامناسب نقاط دسترسی WiFi 6E با دو پورت یا سوییچ‌های PoE صنعتی متکی هستند.

همیشه STP را در سراسر سوییچ‌های سازمانی فعال کنید، مانند Catalyst 9300L، CE6881-48S6CQ-B یا CloudEngine 8850-EI متکی هستند.
انواع مدرن مانند RSTP و MSTP همگرایی سریع‌تر و تقسیم‌بندی VLAN بهتری را ارائه می‌دهند.

سوییچ‌های مدیریت‌شده و سوییچ‌های اصلی ماژولار اغلب شامل ویژگی‌های محافظت از حلقه یا کنترل طوفان هستند.
هنگامی که رفتار پخش غیرعادی تشخیص داده می‌شود، سیستم می‌تواند به طور خودکار پورت اترنت یا ماژول سوییچ متکی هستند.

شبکه را با استفاده از VLANها و ACLها تقسیم‌بندی کنید تا طوفان‌های پخش را ایزوله کنید. این امر آسیب را به یک VLAN محدود می‌کند نه کل زیرساخت ICT متکی هستند.

دستگاه‌هایی مانند نقاط دسترسی WiFi 6 (AirEngine 6760X1، C9115AXI-H) یا PLCهای Siemens S7-1200 ممکن است قابلیت‌های پل‌زنی داشته باشند.
از توپولوژی طراحی خود پیروی کنید — هرگز هر دو پورت را به یک بخش LAN متصل نکنید.

به طور منظم کابل‌کشی خود را مستند کنید، به خصوص برای ماژول‌های SFP، فرستنده‌های نوری، PSUهای سرور و ماژول‌های برق متکی هستند.
برچسب‌های واضح و نقشه‌های توپولوژی از اتصال نادرست تصادفی جلوگیری می‌کنند — شایع‌ترین علت اصلی حلقه‌ها.

در مراکز داده، جایی که چندین سوییچ 10G، سرورهای رک و فایروال‌ها (مانند ASA5516-FPWR-K9 یا Firepower 2110 NGFW) به هم متصل هستند، یک حلقه واحد می‌تواند یک شکست آبشاری را ایجاد کند.

افزونگی برق با PSUهای قابل تعویض داغ و سیستم‌های UPS (به عنوان مثال، APC Rack Mount UPS، PAC1000S56-DB) نمی‌تواند شبکه را در صورت از کار افتادن ساختار سوئیچینگ شما نجات دهد.

یک کابل اترنت در جای نامناسب یا ماژول فرستنده و گیرنده SFP بدون نظارت می‌تواند صدها سرور را در عرض چند ثانیه از کار بیندازد.

حلقه‌های شبکه یک مشکل کلاسیک با احتمال کم و تأثیر زیاد هستند.
آنها می‌توانند یک شبکه ICT کامل — سوییچ‌ها، روترها، سرورها، فایروال‌ها و کنترل‌کننده‌های بی‌سیم (مانند C9800-L-F-K9) — را در عرض چند ثانیه از کار بیندازند.

شبکه‌های سازمانی مدرن به طراحی هوشمند، جلوگیری از حلقه و نگهداری منظم متکی هستند.
به هر حال، پایداری سوییچ‌های اصلی، نقاط دسترسی و سرورهای مرکز داده شما اساس کل عملیات دیجیتال شما است.