Wifi

如何防止使用者直接連接到接入點所連接的交換機?

  • June 23, 2013

我即將在宿舍設置一個大型無線網路。我正在使用的硬體將是:

HP Procurve E2520-24G-PoE (J9299A)
Cisco Aironet 2602i Autonomous Access Point

由於AP的插座是安裝在牆上的,所以每個人都可以訪問它們,我想保護交換機上的埠,這樣沒有人可以繞過我們的日誌。(通過連接,沒有將他們的 MAC 地址註冊到他們的房間號)

我嘗試過的解決方案是將 ProCurve 設置為802.1x針對正在執行的RADIUS伺服器的身份驗證器。接入點被配置為802.1x請求者,並成功地向交換機進行身份驗證,並且可以訪問網路。

但是,雖然這完全可以正常工作,但如果有人要斷開接入點,而是將交換機連接到插座,然後將 AP 連接到該交換機。AP 將進行身份驗證,並授予該交換機上的每個人的完全訪問權限。我嘗試client-limit在 Procurve 交換機上進行設置,但這會阻止 AP 上的任何使用者訪問網路。

如何防止使用者通過這些插座訪問網路,並且仍然允許人們登錄到 wifi?

一個非常天真的解決方案是將埠設置為中繼模式並丟棄未標記的數據包。將接入點設置為使用 vlan 標記其所有傳出數據包。將交換機配置為丟棄不在該 vlan 上的任何數據包。

這不會阻止了解網路並且可以嗅探 ap 和交換機之間的對話並註意到 vlan 標籤的人。但它應該阻止因果施虐者。

您是否嘗試過使用埠安全性?<ftp://ftp.hp.com/pub/networking/software/Security-Oct2005-59906024-Chap09-Port_Security.pdf>可能有幫助嗎?

引用自:https://serverfault.com/questions/517832