우리의 도메인은 약 60 대의 컴퓨터로 구성되어 있습니다. Windows 10 워크 스테이션이 서로 통신 할 수 없는지 확인했습니다. 관리자는 컴퓨터가 네트워크 프린터, 파일 서버, DC 와만 통신하고 인터넷에 액세스 할 수 있도록 고정 경로를 만들도록 요청했습니다.
이 모든 컴퓨터가 동일한 네트워크에 있기 때문에 고정 경로로 인해이 컴퓨터가 서로를 볼 수 있다고 생각하지 않습니다. 도메인의 컴퓨터가 네트워크 리소스를 사용할 수 있지만 서로 직접 통신하지 않는 가장 좋은 방법은 무엇입니까?
답변
스위치를 지원하는 스위치가 있으면 케이블 연결을위한 ‘보호 된 포트’또는 Wi-Fi의 액세스 포인트를위한 ‘클라이언트 격리’가 동일한 Layer-2 네트워크의 호스트 간 트래픽을 제거하는 데 도움이 될 수 있습니다.
예를 들어, 이것은 Cisco 스위치 매뉴얼에 있습니다.
보호 포트에는 다음 기능이 있습니다. 보호 포트는 트래픽 (유니 캐스트, 멀티 캐스트 또는 브로드 캐스트)을 보호 포트 인 다른 포트로 전달하지 않습니다. 계층 2에서 보호 된 포트간에 데이터 트래픽을 전달할 수 없습니다. 이러한 패킷은 CPU에 의해 처리되고 소프트웨어로 전달되므로 PIM 패킷과 같은 제어 트래픽 만 전달됩니다. 보호 된 포트 사이를 통과하는 모든 데이터 트래픽은 계층 3 장치를 통해 전달되어야합니다.
따라서 데이터를 전송하지 않으려는 경우 일단 ‘보호’된 후에는 조치를 취할 필요가 없습니다.
보호 된 포트와 보호되지 않은 포트 사이의 전달 동작은 평소와 같이 진행됩니다.
클라이언트는 보호 될 수 있고 DHCP 서버, 게이트웨이 등은 보호되지 않은 포트에있을 수 있습니다.
업데이트 27-07-2017
당신이 적층되지 않은 하나 개 이상의 스위치가있는 경우 @sirex으로는 사실상 단일 스위치, 보호 된 포트되지 않음을 의미, 지적 그 사이 것이다 정지하지 트래픽 .
참고 : 일부 스위치 (Private VLAN Catalyst 스위치 지원 매트릭스에 지정된)는 현재 PVLAN Edge 기능 만 지원합니다. “보호 된 포트”라는 용어는이 기능을 나타냅니다. PVLAN Edge 포트에는 동일한 스위치의 다른 보호 포트와의 통신을 방지하는 제한이 있습니다. 그러나 별도의 스위치에있는 보호 된 포트는 서로 통신 할 수 있습니다.
이 경우 격리 된 개인 VLAN 포트 가 필요 합니다 .
경우에 따라 다른 IP 서브넷에 장치를 배치하지 않고 스위치의 엔드 장치간에 L2 (계층 2) 연결을 방지해야합니다. 이 설정은 IP 주소 낭비를 방지합니다. PVLAN (Private VLAN)을 사용하면 동일한 IP 서브넷에있는 장치의 계층 2에서 격리 할 수 있습니다. 기본 게이트웨이, 백업 서버 또는 Cisco LocalDirector가 연결된 특정 포트에만 도달하도록 스위치의 일부 포트를 제한 할 수 있습니다.
PVLAN이 여러 스위치에 걸쳐있는 경우 스위치 간의 VLAN 트렁크는 표준 VLAN 포트 여야합니다 .
트렁크를 사용하여 스위치 전체에서 PVLAN을 확장 할 수 있습니다. 트렁크 포트는 일반 VLAN 및 기본, 격리 및 커뮤니티 VLAN에서 트래픽을 전송합니다. 트렁킹을 수행하는 두 스위치 모두 PVLAN을 지원하는 경우 표준 트렁크 포트를 사용하는 것이 좋습니다.
Cisco 사용자 인 경우이 매트릭스 를 사용 하여 스위치가 필요한 옵션을 지원하는지 확인할 수 있습니다.
답변
클라이언트 당 1 개의 서브넷을 만드는 것만 큼 끔찍한 일을한다면 그렇게 할 수 있습니다. 이것은 관리의 악몽 일 것입니다.
적절한 정책을 가진 Windows 방화벽이이를 도와 줄 것입니다. 도메인 격리와 같은 작업을 수행 할 수 있지만 더 제한적입니다. 한 OU의 서버와 다른 OU의 워크 스테이션을 사용하여 OU 당 규칙을 시행 할 수 있습니다. 또한 프린터와 서버가 워크 스테이션과 동일한 서브넷에 있지 않은지 확인하여 더 간단하게 만들 수 있습니다.
https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx
네트워크 프린터와 관련하여-직접 인쇄를 허용하지 않지만 인쇄 서버에서 프린터를 공유 대기열로 호스팅 한 경우이 작업을 더 쉽게 수행 할 수 있습니다. 여러 가지 이유로 오랫동안 좋은 아이디어였습니다.
이것의 실제 비즈니스 목표가 무엇인지 물어볼 수 있습니까? 멀웨어 발생을 방지하는 데 도움이됩니까? 큰 그림 / 완료 라인을 염두에두면 요구 사항을 정의하는 데 도움이되므로 항상 질문의 일부가되어야합니다.
답변
각 워크 스테이션을 특정 사용자에게 바인드 할 수있는 경우 해당 사용자 만 해당 워크 스테이션에 액세스 할 수 있습니다.
로컬로 로그온하는 도메인 정책 설정입니다.
이렇게하면 사용자가 가장 가까운 워크 스테이션으로 이동하여 자신의 지정된 컴퓨터에 액세스하기 위해 자신의 암호를 입력 할 수는 없지만 쉽게 감지 할 수 있습니다.
또한 이것은 Windows 관련 서비스에만 영향을 미치므로 컴퓨터의 웹 서버에 여전히 액세스 할 수 있습니다.