들어가기 전에
로컬 네트워크에서 통신이 느려지거나 장애가 발생할 때,
스위치가 프레임을 어떻게 전달하는지,
브로드캐스트가 어디까지 퍼지는지를 이해하는 것이 문제 해결의 첫걸음이다.
스위치는 단순한 중계 장비가 아니다.
내부에 MAC 주소 테이블을 갖고 있으며, 프레임을 지능적으로 포워딩한다.브로드캐스트는 네트워크 트래픽을 확산시키는 기본 메커니즘이다.
한계 없이 확산될 경우, 네트워크는 마비될 수 있다.
1. L2 스위치란?
L2 스위치는 데이터링크 계층(2계층)에서 동작하는 장비로,
MAC 주소를 기준으로 프레임을 전달한다.
기능
-
수신한 프레임의 송신 MAC 주소와 연결된 포트를 MAC 주소 테이블에 학습(등록)
-
목적지 MAC 주소가 테이블에 있을 경우 → 해당 포트로 유니캐스트 전송
-
목적지 MAC 주소가 테이블에 없을 경우 → 모든 포트로 플러딩(Flooding)
(단, 수신 포트 제외)
(*플러딩은 브로드캐스트가 아님)
MAC 주소 학습
-
스위치는 자신에게 도착하는 모든 프레임의 송신자 MAC을 학습하여
MAC 주소 ↔ 포트 번호 매핑을 만든다. -
학습한 MAC은 일정 시간 이후 만료된다.
3. 브로드캐스트란?
브로드캐스트는 하나의 장비가 네트워크 상의 모든 장비에게 데이터를 전송하는 방식이다.
데이터링크 계층에서는 FF:FF:FF:FF:FF:FF 주소를 사용한다.
예
- ARP Request, DHCP Discover 등
특징
-
라우터를 지나지 못한다 (L3 계층에서 차단됨)
-
스위치 내부에서는 전체 포트로 전파된다
4. 플러딩(Flooding)과 브로드캐스트(Broadcast)의 차이
공통점
스위치는 둘 다 수신 포트를 제외한 모든 포트로 프레임을 복사해서 전송한다.
차이점
| 항목 | 플러딩 (Flooding) | 브로드캐스트 (Broadcast) |
|---|---|---|
| 목적지 MAC | 특정됨 (ex: 00:1A:2B:...) | FF:FF:FF:FF:FF:FF |
| 발생 이유 | 스위치가 목적지 MAC을 아직 학습하지 못함 | 송신자가 명시적으로 전체 전송을 의도 |
| 수신 대상 | 해당 MAC 주소를 가진 단말 1개 | 네트워크의 모든 장비 |
| 예시 | 처음 통신하는 장비에게 프레임 전송 | ARP Request, DHCP Discover 등 |
-
플러딩은 일시적인 학습 부족 상태의 대응 방식
-
브로드캐스트는 프로토콜 설계 차원의 전송 방식
5. 브로드캐스트 도메인이란?
브로드캐스트 도메인은 하나의 브로드캐스트 메시지가 도달할 수 있는 범위다.
-
스위치까지는 도달
-
라우터는 경계를 나눈다
즉, 라우터를 기준으로 브로드캐스트 도메인은 분리되고,
같은 스위치에 연결된 장비는 하나의 브로드캐스트 도메인을 공유합니다.
(VLAN을 활용하면 스위치 내부에서도 논리적으로 도메인을 분리할 수 있다.)
6. 브로드캐스트 활용 예시
-
ARP Storm 문제 발생 시
브로드캐스트 범위를 줄이는 것이 핵심 대책이다.
(VLAN 분할, 라우터 도입 등으로 도메인을 나눈다) -
IP 충돌 분석 시
같은 브로드캐스트 도메인 내 장비 간 충돌 가능성이 있으므로 도메인 범위 확인이 중요하다. -
DHCP 서버 구성 시
DHCP Discover는 브로드캐스트 방식으로 요청하므로,
DHCP 서버는 같은 브로드캐스트 도메인 내에 있어야 한다.
ARP Storm
ARP Storm은 비정상적으로 과도한 ARP 요청이 네트워크에 발생하면서 전체 네트워크 성능을 저하시키거나 마비시키는 현상입니다.
간단히 말해, 브로드캐스트로 보내는 ARP 요청이 폭주해 네트워크를 덮치는 문제입니다.ARP Storm이 발생하는 이유
(1) 장비가 너무 자주 ARP 요청을 보낼 때
- 잘못된 설정으로 매번 목적지 MAC을 ARP로 다시 요청함 (ARP 캐시 미사용)
(2) ARP 테이블을 너무 자주 비우거나, 너무 짧게 유지할 때
- TTL이 짧아 반복 요청 유발
(3) 가상의 공격이나 악성 코드로 ARP 요청을 고의적으로 살포할 때
- ARP Spoofing 공격 과정에서 의도적으로 생성되기도 함
(4) 브로드캐스트 도메인이 너무 넓을 때
- 한 장비의 브로드캐스트 요청이 너무 많은 장비에게 도달함
→ 요청-응답이 기하급수적으로 증가이로 인해 네트워크 지연, 통신 간헐적 끊김, CPU/메모리 부하 증가 (스위치/서버),
최악의 경우 DHCP 작동 불가, DNS 응답 없음 등이 발생할 수 있다.방지 대책
방법 설명 VLAN 분리 브로드캐스트 도메인을 논리적으로 작게 나눠서 확산 범위 제한 ARP Cache 설정 최적화 너무 짧은 TTL을 늘리거나, 캐시 유지 전략 개선 ARP Rate Limit 스위치에서 ARP 요청 속도 제한 설정 동적 ARP 검사 (DAI) Cisco 등 장비에서 비정상 ARP 탐지 및 차단 기능 사용 스위치 보안 기능 활용 예: DHCP Snooping, Port Security 등과 연계
면접 대비 요약
| 질문 | 핵심 포인트 |
|---|---|
| L2 스위치는 어떤 역할을 하나요? | MAC 주소 기반으로 프레임을 유니캐스트 전달. 학습 기능을 가짐 |
| 스위치와 허브의 차이는? | 허브는 모든 포트로 전송(브로드캐스트), 스위치는 목적지 포트로만 전송 |
| 브로드캐스트란? | 하나의 장비가 같은 네트워크 내 모든 장비에게 프레임 전송 |
| 브로드캐스트 도메인이란? | 브로드캐스트가 도달 가능한 범위. 스위치까지는 전달되며, 라우터에서 차단 |
| 도메인을 나누는 방법은? | 라우터 사용, 또는 VLAN 설정을 통한 논리적 분리 |
