소규모 회사 LAN 설정 방법
1. 물리적 위치와 거리에 따라 여러 개의 네트워크 케이블을 만들고 테스트를 통해 네트워크 케이블의 연결성을 확인합니다. 네트워크 케이블 제작에는 두 가지 배선 방법이 있습니다. 하나는 서로 다른 유형의 장비를 상호 연결하는 데 적합한 병렬 배선이고, 다른 하나는 동일한 유형의 장비 간 상호 연결에 적합한 교차 배선입니다. 오늘날 대부분의 장비는 병렬 및 교차 케이블 연결을 모두 인식합니다.
2. 네트워크 케이블을 사용하여 허브나 라우터의 LAN 포트를 컴퓨터 네트워크 카드 인터페이스에 연결합니다. 특히 라우터의 경우 LAN을 설정하려면 모든 LAN 인터페이스가 컴퓨터 네트워크 카드에 연결되어 있는지 확인하십시오.
3. 각 컴퓨터의 네트워크 카드 드라이버가 정상적으로 설치되었는지 확인하세요. 테스트 방법: "실행" 대화 상자를 열고 "ping 127.0.0.1 -t" 명령을 입력하면 설치가 정상임을 나타내는 다음 인터페이스 프롬프트가 나타납니다. 그렇지 않은 경우 해당 최신 드라이버를 다운로드하고 다시 설치하세요.
4. 각 컴퓨터의 IP 주소를 설정합니다. 일반적으로 LAN 사용자의 경우 권장되는 IP 주소 범위는 "192.168.1.1" ~ "192.168.1.254"입니다. 이 범위 내의 유일한 IP, 서브넷 마스크: "255.255.255.0", 기타 항목은 기본적으로 처리됩니다. IP 주소 설정 방법: "로컬 영역 연결"을 마우스 오른쪽 버튼으로 클릭하여 "로컬 영역 연결 속성" 대화 상자로 들어가고, "인터넷 프로토콜 버전 4(Tcp/IP)"를 두 번 클릭하여 설정 대화 상자를 열고 다음을 입력합니다. IP 주소와 서브넷 마스크.
5. 각 컴퓨터의 IP 설정이 완료되면 컴퓨터 간 상호 운용성 테스트를 진행합니다. 테스트 방법: "실행" 대화 상자를 열고 "ping 192.168.1. 연결됨" 명령을 실행합니다. 이 시점에서 전체 근거리 통신망이 완성됩니다.
6. LAN에 있는 컴퓨터 수가 허브 또는 라우터 인터페이스 수를 초과하는 경우 여러 허브 또는 라우터를 연결하여 네트워크 범위를 확장할 수 있습니다. 구체적인 방법은 허브 또는 라우터가 LAN 포트를 통해 연결되어 네트워크를 확장하는 것입니다. 주의할 점은 라우터의 WAN 포트를 네트워크 확장을 위한 인터페이스로 사용해서는 안 된다는 것입니다. ADSL이나 광대역을 연결하는 것입니다.
확장 정보:
LAN은 기본적으로 브로드캐스트 기술을 기반으로 하는 이더넷을 사용합니다. 두 노드 사이의 통신 데이터 패킷은 이 두 노드의 네트워크 카드뿐만 아니라 수신됩니다. 동일한 이더넷에 있는 모든 노드의 네트워크 카드에 의해 차단됩니다. 따라서 해커가 이더넷의 모든 노드에 액세스하여 수신하는 한 이 이더넷에서 발생하는 모든 데이터 패킷을 캡처하여 압축을 풀고 분석하여 핵심 정보를 훔칠 수 있습니다. 이것이 이더넷에 내재된 보안 위험입니다. 실제로 SATAN, ISS, NETCAT 등 인터넷은 모두 이더넷 차단을 가장 기본적인 방법으로 사용합니다.
현재 LAN 보안에 대한 솔루션은 다음과 같습니다.
네트워크 분할
네트워크 분할은 일반적으로 네트워크 브로드캐스트 폭풍을 제어하는 방법으로 간주됩니다. 기본적인 수단이지만 네트워크 보안을 보장하는 중요한 수단이기도 합니다. 그 목적은 불법 사용자를 민감한 네트워크 자원으로부터 격리하여 불법 가로채기를 방지하는 것입니다. 네트워크 분할은 물리적 분할과 논리적 분할의 두 가지 방법으로 나눌 수 있습니다. 대부분의 맞춤형 LAN은 스위치를 중앙으로 하고 라우터를 경계로 하는 네트워크 구조를 채택합니다. 우리는 중앙 스위치의 액세스 제어 기능과 3계층 스위칭 기능을 탐구하는 데 중점을 두고 물리적 분할과 논리적 분할 방법을 포괄적으로 적용하여 제어를 실현해야 합니다. LAN의 보안 제어. 예를 들어, 세관 시스템에서 일반적으로 사용되는 DEC MultiSwitch900의 침입 감지 기능은 실제로 MAC 주소를 기반으로 한 일종의 액세스 제어이며, 이는 위에서 언급한 데이터 링크 계층 기반의 물리적 분할입니다.
공유 허브를 스위칭 허브로 교체
LAN의 중앙 스위치에서 네트워크 분할 후에도 이더넷 스누핑의 위험은 여전히 존재합니다.
이는 네트워크 최종 사용자 액세스가 중앙 스위치가 아닌 지점 허브를 통해 이루어지는 경우가 많고 가장 널리 사용되는 지점 허브는 일반적으로 공유 허브이기 때문입니다. 이러한 방식으로 사용자가 호스트와 통신할 때 두 시스템 간의 데이터 패킷(유니캐스트 패킷이라고 함)은 동일한 허브에 있는 다른 사용자가 계속해서 청취할 수 있습니다. 매우 위험한 상황은 사용자가 호스트에 TELNET을 하는 것입니다. TELNET 프로그램 자체에는 암호화 기능이 없기 때문에 사용자가 입력한 모든 문자(사용자 이름, 비밀번호 및 기타 중요한 정보 포함)가 일반 텍스트로 전송됩니다. 해커.
따라서 공유 허브 대신 스위칭 허브를 사용하여 유니캐스트 패킷이 두 노드 사이에만 전송되도록 하여 불법적인 가로채기를 방지해야 합니다. 물론, 스위칭 허브는 유니캐스트(Packet)와 멀티캐스트 패킷(Multicast(Packet))만 제어할 수 있습니다. 다행스럽게도 브로드캐스트 패킷과 멀티캐스트 패킷의 핵심 정보는 유니캐스트 패킷의 핵심 정보보다 훨씬 적습니다.
VLAN 분할
이더넷의 브로드캐스트 문제를 극복하기 위해 위의 방법 외에도 VLAN(가상 LAN) 기술을 사용하여 이더넷 통신을 지점 통신으로 전환할 수도 있습니다. 네트워크 청취를 기반으로 대부분의 침입을 방지합니다.
VLAN 기술에는 스위치 포트 기반 VLAN, 노드 MAC 주소 기반 VLAN, 애플리케이션 프로토콜 기반 VLAN의 세 가지 주요 기술이 있습니다. 포트 기반 VLAN은 유연성이 약간 떨어지지만 상대적으로 성숙하고 실제 애플리케이션에 상당한 영향을 미치며 널리 사용되고 있습니다. MAC 주소 기반 VLAN은 모바일 컴퓨팅의 가능성을 제공하지만 MAC 스푸핑 공격의 숨겨진 위험도 있습니다. 프로토콜 기반 VLAN은 이론적으로는 이상적이지만 실제 적용은 아직 성숙되지 않았습니다.
중앙 집중식 네트워크 환경에서는 일반적으로 중앙의 모든 호스트 시스템을 VLAN으로 모으고 민감한 호스트 리소스를 더 잘 보호하기 위해 이 VLAN에는 사용자 노드가 허용되지 않습니다. 분산 네트워크 환경에서는 기관이나 부서의 설정에 따라 VLAN을 나눌 수 있습니다. 각 부서 내의 모든 서버와 사용자 노드는 자체 VLAN에 있으며 서로 간섭하지 않습니다.
VLAN 내 연결은 스위칭으로 구현되고, VLAN 간 연결은 라우팅으로 구현됩니다. 대부분의 스위치(세관에서 일반적으로 사용되는 DEC MultiSwitch 900 포함)는 두 가지 국제 표준 라우팅 프로토콜인 RIP 및 OSPF를 지원합니다. 특별한 요구 사항이 있는 경우 다른 라우팅 프로토콜을 사용해야 합니다(예: DECnet을 지원하는 CISCO의 EIGRP 또는 IS-IS). 또한 외부 다중 이더넷 포트 라우터를 사용하여 스위치를 교체하여 VLAN 간 라우팅 기능을 구현할 수도 있습니다. 물론 이 경우 라우팅과 포워딩의 효율성이 떨어지게 됩니다.
스위칭 허브와 VLAN 스위치는 모두 스위칭 기술을 기반으로 하며 브로드캐스트를 제어하고 해커를 방지하는 데 매우 효과적이지만 브로드캐스트 원리를 기반으로 한 일부 침입 모니터링 기술과 프로토콜 분석도 제공합니다. 따라서 LAN에 이러한 침입 감시 장비나 프로토콜 분석 장비가 있는 경우에는 SPAN(Switch PortAnalyzer) 기능을 갖춘 특수 스위치를 선택해야 합니다. 이러한 종류의 스위치를 사용하면 시스템 관리자는 스위칭 포트 데이터 패킷의 전부 또는 일부를 지정된 포트에 매핑하여 해당 포트에 연결된 침입 감시 장치나 프로토콜 분석 장치에 제공할 수 있습니다. 저자는 Xiamen Customs 외부 네트워크 설계에서 SPAN 기능이 있는 Cisco Catalyst 시리즈 스위치를 선택했는데, 이는 스위칭 기술의 이점을 누릴 뿐만 아니라 원래의 스니퍼 프로토콜 분석기를 "영웅"으로 만들었습니다.
참고 자료: 바이두백과사전-LAN