我准备在宿舍里设置一个大型无线网络。我使用的硬件是:
HP Procurve E2520-24G-PoE (J9299A)
Cisco Aironet 2602i Autonomous Access Point
由于 AP 的插座安装在墙上,因此每个人都可以访问它们,因此我想保护交换机上的端口,这样就没有人可以绕过我们的日志。(通过连接,而无需将他们的 mac 地址注册到他们的房间号)
我尝试的解决方案是将 ProCurve 设置为802.1x针对RADIUS服务器的身份验证器,这种方法有效。接入点配置为802.1x请求者,并成功通过交换机的身份验证,并可以访问网络。
但是,尽管这完全可以正常工作,但如果有人断开接入点的连接,而是将交换机连接到插座,然后将 AP 连接到该交换机。 AP 将进行身份验证,并向该交换机上的每个人授予完全访问权限。我尝试client-limit在 Procurve 交换机上进行设置,但这会阻止 AP 上的任何用户访问网络。
我怎样才能阻止用户通过这些出口访问网络,同时仍允许人们登录 wifi?
答案1
一个非常简单的解决方案是将端口设置为中继模式并丢弃未标记的数据包。设置接入点以使用 vlan 标记其所有传出的数据包。配置交换机以丢弃不在该 vlan 上的任何数据包。
这不会阻止那些了解网络并能嗅探 ap 和交换机之间的对话并注意到 vlan 标签的人。但它应该能阻止因果滥用者。
答案2
答案3
完全防止这种情况的唯一方法是将 ap 流量通过隧道传输到另一台设备,并将端口上的 acl 设置为仅允许流量到达隧道端点。