我即将在宿舍设置一个大型无线网络。我使用的硬件将是:
HP Procurve E2520-24G-PoE (J9299A)
Cisco Aironet 2602i Autonomous Access Point
由于 AP 的插座安装在墙上,所以每个人都可以访问它们,我想保护交换机上的端口,所以没有人可以绕过我们的日志。(通过连接,没有将他们的 mac 地址注册到他们的房间号)
我尝试过的解决方案是将 ProCurve 设置为针对正在运行的服务器的802.1x验证器。RADIUS接入点被配置为802.1x请求方,并成功通过交换机的身份验证,并可以访问网络。
然而,虽然这完全正常工作,但如果有人要断开接入点,而是将交换机连接到插座,然后将 AP 连接到该交换机。AP 将进行身份验证,并向该交换机上的每个人授予完全访问权限。我已尝试client-limit在 Procurve 交换机上进行设置,但这会阻止 AP 上的任何用户访问网络。
我怎样才能阻止用户通过这些网点访问网络,并且仍然允许人们登录到 wifi?
您是否尝试过使用端口安全?ftp://ftp.hp.com/pub/networking/software/Security-Oct2005-59906024-Chap09-Port_Security.pdf可能有帮助?
一个非常天真的解决方案是将端口设置为中继模式并丢弃未标记的数据包。将接入点设置为使用 vlan 标记所有传出数据包。配置交换机以丢弃不在该 vlan 上的任何数据包。
这不会阻止了解网络并且可以嗅探 ap 和交换机之间的对话并注意到 vlan 标记的人。但它应该阻止因果滥用者。
完全防止这种情况的唯一方法是将 ap 流量通过隧道传输到另一台设备,并将端口上的 acl 设置为仅允许流量流向隧道端点。