업무용으로 여러 대의 컴퓨터를 인터넷에 연결해야 합니다. 그러나 각 워크스테이션에는 LAN 포트가 1개만 있습니다. 이 문제를 해결하기 위해 LAN 포트에서 여러 링크를 "잡기" 위해 스위치를 LAN 포트에 연결하려고 했습니다. 설정은 다음과 같습니다.
Internet <---> CISCO SWITCHES <---> Workstation LAN port <---> My switch <---> My systems
나는 곧 각 LAN 포트가 제한된 수의 링크만 지원할 수 있다는 것과 이것이 Cisco 스위치 수준에서 IT 부서에 의해 부과된 엄격한 제한이라는 것을 깨달았습니다. 그들은 각 LAN 포트가 지원할 MAC 주소 수에 대한 제한을 설정했으며, 이를 초과하면 링크 삭제가 시작됩니다.
나는 네트워크 관리자와 짧은 대화를 나눴는데, 그는 제한을 두지 않으면 스위치의 스패닝 트리가 미쳐버릴 수 있고 잠재적으로 전체 네트워크를 다운시킬 수 있다는 것을 간략하게 설명할 시간이 있었습니다.
STP에 대한 나의 제한된 이해는 이것이 교환 네트워크의 루프를 방지하는 데 사용된다는 것입니다. 하지만 제가 제안한 설정이 MAC 주소 제한 없이 어떻게 전체 네트워크를 다운시킬 수 있을까요?
답변1
귀하의 회사가 'CISCO SWITCHES'를 채택할 만큼 충분히 크다면 IT 부서가 네트워크에 속한다고 생각하는 모든 네트워크 장비와 악성 장치를 연결하는 모든 bob, tom 및 harry를 지원할 수 없을 만큼 충분히 클 것입니다.
업무용이라면 IT 부서와 협력해야 합니다.
구체적으로, 귀하의 주제에 대한 질문에 답하기 위해: 네트워크에서 불량 네트워크 장비가 허용되면 '고급 사용자'는 허브 루핑, 불량 DHCP 서버 삽입 등과 같은 어리석은 일을 빠르게 수행합니다. 각 '포트'(여기서는 시스코 세계의 액세스 레벨 스위치에 대해 이야기하고 있습니다)를 통해 IT 부서는 많은 사용자가 절대 하지 않을 일을 하는 번거로움 없이 어디서 무엇이 무엇을 하고 있는지 추적할 수 있습니다.
이는 문제에 대한 최선의 해결책이 아닐 수도 있지만(특히 byod의 세계에서는) IT 부서가 이를 선택했습니다. 다음 단계는 워크스테이션이 네트워크에 연결되어야 하는 비즈니스 요구 사항을 입증하고 IT에 솔루션을 요청하는 것입니다.
답변2
스위치 포트에서 802.1X/mac 학습을 사용하는 것이 일반적입니다.
이는 "플러드 완화" 기능보다 더 중요한 보안 기능입니다. 배포되는 대부분의 경우 이는 "네트워크를 압도하는 누군가"에 대해 걱정하는 것과는 아무런 관련이 없습니다. IT는 단순히 사용자가 10개의 홈 장치를 가져와 네트워크에 연결하는 것과 같은 일을 방지하기 위해 포트를 제한하기를 원합니다. MAC 학습 802.1X 인증 및 인증서도 배포하기 쉬운 방법 중 하나입니다.
필요한 경우 IT는 특정 LAN 포트에 대한 Mac 학습 제한을 제거하거나 늘릴 수 있습니다.
답변3
이는 네트워크를 더욱 안정적으로 만드는 최선의 방법은 아니지만 매우 효과적인 방법이자 너무 많은 작업을 수행하지 않는 방법일 수 있습니다.
내 경험에 따르면, 내가 요청한 네트워크 문제 중 약 절반은 꽤 쉬운 이유가 있습니다. 누군가가 "일부 테스트를 연결한" 일부 덤프 5-8포트 스위치(STP 지원 및 루프 인식이 아님)...
이 포트를 식별하고 종료한 후 cuplprits가 불평할 때까지 기다리세요 :-)
하지만 저는 오랜 시간 동안 이상한 네트워크 동작이 발생한 후에만 전화를 받기 때문에 관리자는 기본 잠금에 대한 강의를 듣습니다. 주변에 STP, 루프 가드, bpdu-guard 등이 있는지 확인하고 Mac 주소를 제한합니다. 그것이 필요한 곳.
tsg