我有一个关于路由和 WiFi 接入点的新手问题。
背景
我有一个主交换机(cisco catalyst 2950),位于路由器/防火墙后面。在该交换机上,我有一个 IDS(snort)监听 span 端口,该端口镜像所有进出网络的流量。我还有一个 Linksys WRT54G wifi 路由器,提供无线服务,其“互联网”端口也插入交换机。
网络分为两个子网,xx1.1/24 用于网络的有线部分,xx2.1/24 由 linksys ap 提供,用于无线部分。
问题
我的问题是,当查看来自 snort 的警报时,来自 xx1.1 网络的任何流量都可以归因于我的网络后面的实际机器,但是来自我的 wifi 路由器上的机器的流量具有 AP 本身的源(或目标)ip。
现在,我明白了,这是因为 wifi 路由器是一个路由器,因此,它确切地它是如何设计的。
问题
我需要提供无线接入,同时让 IDS 了解无线网络上的实际源/目标机器。但我不确定这是否可行。在 wifi 路由器上是否有可以让我扩展 xx1.1 网络的功能/技术/模式?我是否需要用其他 wifi 设备替换 wifi 路由器?
考虑的选项
我研究过以下选项:
跨越 wifi 路由器的一个端口来监控 xx2.1/24 网络上的流量。我当前的 wifi 路由器不提供跨越/镜像功能,并且似乎不支持修改后的固件映像。
将 wifi 路由器置于某种“模式”,使其不“路由”流量。我的硬件目前有网关模式和路由器模式。这两种模式似乎都会导致同样的问题。其他消费者级 wifi 接入点上是否还有其他可用的“模式”?
购买一台不路由流量但提供无线接入的硬件?这真的存在吗?
我知道这是一个复杂的问题,信息并不完善。完整的答案当然是极好的,但只要能让我走上正轨就足够了。感谢您读到最后!
答案1
您有两个 LAN,而不是一个。除非您出于某种原因这样做,否则请将其更改为只有一个 LAN。
关闭WRT54G的DHCP服务器,一个LAN只需要一个DHCP服务器。
将 WRT54G 的一个 LAN 端口连接到 2950 端口之一。断开 Internet/WAN 端口——此路由器将仅连接到您的 LAN。
让连接到 WRT54G 的任何设备从 LAN 中的路由器获取新的 IP 地址。
答案2
如果来自 AP 的流量都带有 AP 的 IP 地址,那么它所做的就不仅仅是路由:听起来像是在进行 NAT。换句话说,它为无线客户端提供的地址是该网络的私有地址,并且都由 AP 转换为单个地址。
我没有 WRT54G,但通过谷歌搜索,我发现您无法禁用 NAT,否则也会失去其 DHCP 服务器功能。另一方面,您很幸运拥有一个第三方固件良好支持的 AP。如果您可以安装 DD-WRT(或其他项目之一)固件,您将对设备拥有更多的控制权。