충돌 (Collision)
pc1 pc3
pc2
- > 어떻게 충돌을 알수 있을까?
정상적인 신호는 +-5v의 신호가 이동하는데 충돌이 발생하면, 전압의 새기가
+-10 처럼 증가해버린다.
그것이 pc에 전달되면 전압을 인식하고 jam신호를 보내게 된다.
충돌이 발생하면 잠시 대기후 재전송을 한다.
쉬는 시간은 랜카드의 백오프 알고리즘을 이용해 난수후 대기한다.
쉬고 -> 재전송 하면 속도가 느려진다. 속도가 가장 중요하기 때문에 충돌을 방지해야 한다.
없애는 방식은 전이중 방식이 가장 좋지만 여건상 힘들다.
단말수가 많을수록 충돌과 속도가 느려진다 -> 단말수를 줄이는 방법이 있다.
그래서 스위치를 사용하는데.
어떻게 충돌을 방지하냐면 스위치는 포트별로 맥 주소를 관리하기 때문에
맥 주소를 전달받게 되면 해당 맥 주소가 있는 포트로만 데이타를 전송한다.
도메인 분할( Segmentation ) -> 포트 단위로 충돌 도메인을 분리한다.
도메인은 Collision domain과 Broadcast domain이 있다
스위치는 collision도메인을 방지한다.
하지만 브로드 캐스트도메인은 방지할 수 없다.
브로드캐스트 도메인은
[목저지 맥주소] [송신지 맥주소]
fffffffffff 로 있기 때문에 맥주소 테이블에 없어서 분할하지 못한다.
스위치의 보안 ----------------------------- 포트보안
mac flood attack
해커들이 공격하는 방법은 계속해서 맥 주소를 바꾸면서 스위치에게 명령을 보내서
맥주소 테이블을 이용불능하게 만들어 버린다.
이때에 다른 상대방이 다른곳에 보내야 하는데, 거기에 대한 정보가 이미 다 차지해 버려서
a->b로 가지않고, a-> b, c,d 로 모든곳으로 다 데이타를 줘버린다.
DHCP를 위장하는 방법
dhcp는 ip주소를 동적으로 할당, dns와 게이트웨이 또한
가짜dhc
dhcp 서버 - S1 - 일반사용자
나쁜놈
일반사용자가 가장 가까운곳 dhcp에서 응답하는데 이때 가짜가 응답을 해버린다.
그래서 해커의 pc주소를 줘버려서 그 곳으로 정보들을 보낸다.
-> 이런 것들을 해결하기 위해서 특정 포트에 대해서만 보안을 통해서 정보를 제공한다
포트 보안
포트에 지정한 맥 주소만 받겠다... 이런식으로
포트단위로 보안설정을 한다.
1. 포트를 지정한다.
2. 포트에 보안기능을 활성화 시킨다.
3. 접속가능한 단말수를 지정한다. (10? 100대 등)
- 스위치는 2계층장비
프레임 구조는 6바이트는 목적지 물리적주소 뒤6바이트는 보내는놈 맥주소 그다음 데이타(1500) FCS
- 몇대인지 구분하려면 보내는놈의 프레임 맥주소를 분석해서 처음1,다음2로 해서 몇대인지 판별
- 단말수를 파악하느 방법법은 정적 동적이 있다
- 정적은 10개를 다 지정해야한다. 동적은 기계가 알아서 비교하면서 판단한다.
4. 정적인지 동적인지 설정해야한다.
5. violation시에 어떻게 처리할 것인가?파악중에 10대가 넘어버리면?
보안설정하는 방법은 다음과 같다.
int f0/0
switchport mode access - 일반피시가 물리는 모드
switchport portseccury - 활성화는
sw maximun 10 - 단말수는
sw portsecuryty mac-address sticky(정적) 맥주소바로(보내는주소를) - 어떤 단말만, 동적 : 선착순 몇명이렇게
sw portsecuryty violation maximun mac-address shutdown | protected | re?? - 위반처리
스위치 설정하는 방법
1. 기본내용을 설정하는 방법
- 라우터와 거의 동일하다
ena sec
hostname
line conlsole 0
line vty 0 4 - 텔넷을 통한 접속
전역모드에서
logging synchronous - 명령어를 치고 있는데, 시스템 출력에 의해서 명령어가 짤리는것을 방지한다.
banner -
ip domain- lookup - dns를 통해서 방지하는 법
2. 관리를 위한 설정
관리pc (RS-232포트) ----------------- vlan99 스위치 (콘솔포트) - snmp프로토콜
tcp / ip 4계층
응용계층 - 텔넷, ftp, smtp, snmp
tcp
ip
이더넷
snmp는 관리용 데이타를 전송해준다.
- cpu, memory 상태( flash, nvram, ram, rom ) 이런 것들을 자동으로 전송해준다.
콘솔로 전송이 아니라 tcp/ip 하위계층을 통해서 전송한다. -> pc의 주소를 알아야한다.
- 스위치에 ip주소를 어떻게 주는가?
스위치는 접속한 포트에 ip주소를 줄수 없어서 가상의 인터페이스 - vlan을 설정한다.
거기에 대한 ip주소를 설정
ip 192....... // 255.... no sh
그리고 피시와 연결을 위해서
mode acc
access vlan99 이런식으로 연결을 한다
처음에는 설정을 할 수 없기에 콘솔케이블로 연결해서
pc에는 하이퍼터미널을 통해서 접속한다.
3. 보안을 위한 설정.
위에 설정을 참고
pc1 pc3
pc2
- > 어떻게 충돌을 알수 있을까?
정상적인 신호는 +-5v의 신호가 이동하는데 충돌이 발생하면, 전압의 새기가
+-10 처럼 증가해버린다.
그것이 pc에 전달되면 전압을 인식하고 jam신호를 보내게 된다.
충돌이 발생하면 잠시 대기후 재전송을 한다.
쉬는 시간은 랜카드의 백오프 알고리즘을 이용해 난수후 대기한다.
쉬고 -> 재전송 하면 속도가 느려진다. 속도가 가장 중요하기 때문에 충돌을 방지해야 한다.
없애는 방식은 전이중 방식이 가장 좋지만 여건상 힘들다.
단말수가 많을수록 충돌과 속도가 느려진다 -> 단말수를 줄이는 방법이 있다.
그래서 스위치를 사용하는데.
어떻게 충돌을 방지하냐면 스위치는 포트별로 맥 주소를 관리하기 때문에
맥 주소를 전달받게 되면 해당 맥 주소가 있는 포트로만 데이타를 전송한다.
도메인 분할( Segmentation ) -> 포트 단위로 충돌 도메인을 분리한다.
도메인은 Collision domain과 Broadcast domain이 있다
스위치는 collision도메인을 방지한다.
하지만 브로드 캐스트도메인은 방지할 수 없다.
브로드캐스트 도메인은
[목저지 맥주소] [송신지 맥주소]
fffffffffff 로 있기 때문에 맥주소 테이블에 없어서 분할하지 못한다.
스위치의 보안 ----------------------------- 포트보안
mac flood attack
해커들이 공격하는 방법은 계속해서 맥 주소를 바꾸면서 스위치에게 명령을 보내서
맥주소 테이블을 이용불능하게 만들어 버린다.
이때에 다른 상대방이 다른곳에 보내야 하는데, 거기에 대한 정보가 이미 다 차지해 버려서
a->b로 가지않고, a-> b, c,d 로 모든곳으로 다 데이타를 줘버린다.
DHCP를 위장하는 방법
dhcp는 ip주소를 동적으로 할당, dns와 게이트웨이 또한
가짜dhc
dhcp 서버 - S1 - 일반사용자
나쁜놈
일반사용자가 가장 가까운곳 dhcp에서 응답하는데 이때 가짜가 응답을 해버린다.
그래서 해커의 pc주소를 줘버려서 그 곳으로 정보들을 보낸다.
-> 이런 것들을 해결하기 위해서 특정 포트에 대해서만 보안을 통해서 정보를 제공한다
포트 보안
포트에 지정한 맥 주소만 받겠다... 이런식으로
포트단위로 보안설정을 한다.
1. 포트를 지정한다.
2. 포트에 보안기능을 활성화 시킨다.
3. 접속가능한 단말수를 지정한다. (10? 100대 등)
- 스위치는 2계층장비
프레임 구조는 6바이트는 목적지 물리적주소 뒤6바이트는 보내는놈 맥주소 그다음 데이타(1500) FCS
- 몇대인지 구분하려면 보내는놈의 프레임 맥주소를 분석해서 처음1,다음2로 해서 몇대인지 판별
- 단말수를 파악하느 방법법은 정적 동적이 있다
- 정적은 10개를 다 지정해야한다. 동적은 기계가 알아서 비교하면서 판단한다.
4. 정적인지 동적인지 설정해야한다.
5. violation시에 어떻게 처리할 것인가?파악중에 10대가 넘어버리면?
보안설정하는 방법은 다음과 같다.
int f0/0
switchport mode access - 일반피시가 물리는 모드
switchport portseccury - 활성화는
sw maximun 10 - 단말수는
sw portsecuryty mac-address sticky(정적) 맥주소바로(보내는주소를) - 어떤 단말만, 동적 : 선착순 몇명이렇게
sw portsecuryty violation maximun mac-address shutdown | protected | re?? - 위반처리
스위치 설정하는 방법
1. 기본내용을 설정하는 방법
- 라우터와 거의 동일하다
ena sec
hostname
line conlsole 0
line vty 0 4 - 텔넷을 통한 접속
전역모드에서
logging synchronous - 명령어를 치고 있는데, 시스템 출력에 의해서 명령어가 짤리는것을 방지한다.
banner -
ip domain- lookup - dns를 통해서 방지하는 법
2. 관리를 위한 설정
관리pc (RS-232포트) ----------------- vlan99 스위치 (콘솔포트) - snmp프로토콜
tcp / ip 4계층
응용계층 - 텔넷, ftp, smtp, snmp
tcp
ip
이더넷
snmp는 관리용 데이타를 전송해준다.
- cpu, memory 상태( flash, nvram, ram, rom ) 이런 것들을 자동으로 전송해준다.
콘솔로 전송이 아니라 tcp/ip 하위계층을 통해서 전송한다. -> pc의 주소를 알아야한다.
- 스위치에 ip주소를 어떻게 주는가?
스위치는 접속한 포트에 ip주소를 줄수 없어서 가상의 인터페이스 - vlan을 설정한다.
거기에 대한 ip주소를 설정
ip 192....... // 255.... no sh
그리고 피시와 연결을 위해서
mode acc
access vlan99 이런식으로 연결을 한다
처음에는 설정을 할 수 없기에 콘솔케이블로 연결해서
pc에는 하이퍼터미널을 통해서 접속한다.
3. 보안을 위한 설정.
위에 설정을 참고