Я собираюсь настроить большую беспроводную сеть в общежитии. Оборудование, которое я использую, будет:
HP Procurve E2520-24G-PoE (J9299A)
Cisco Aironet 2602i Autonomous Access Point
Поскольку розетки в точках доступа монтируются на стене, чтобы каждый мог получить к ним доступ, я хотел бы защитить порты на коммутаторе, чтобы никто не мог обойти наши журналы. (При подключении без регистрации их MAC-адресов в номере комнаты)
Решение, которое я пробовал, - настроить ProCurve как 802.1x аутентификатор против RADIUS сервер, который работает. Точки доступа настроены как 802.1x соискатели, успешно аутентифицируются на коммутаторе и имеют доступ к сети.
Однако, хотя это работает именно так, как должно, если бы кто-то отключил точку доступа и вместо этого подключил коммутатор к розетке, а затем подключил AP к этому коммутатору. Точка доступа аутентифицируется, и полный доступ предоставляется всем на этом коммутаторе. Я пробовал настроить client-limit на коммутаторе Procurve, однако это препятствует доступу пользователей точки доступа к сети.
Как я могу запретить пользователям доступ к сети через эти розетки и по-прежнему разрешать пользователям входить в систему Wi-Fi?
Единственный способ полностью предотвратить это - туннелировать трафик ap на другое устройство и установить acl на порту, чтобы разрешить трафик только к конечной точке туннеля.
Вы пробовали использовать защиту порта? ftp://ftp.hp.com/pub/networking/software/Security-Oct2005-59906024-Chap09-Port_Security.pdf может помочь?
Очень наивным решением было бы установить порт в транковый режим и отбрасывать немаркированные пакеты. Настройте точки доступа так, чтобы все их исходящие пакеты были помечены vlan. Настройте коммутатор на отбрасывание любых пакетов, не входящих в этот vlan.
Это не остановит тех, кто разбирается в работе с сетями, может обнюхать разговор между точкой доступа и коммутатором и заметить тег vlan. Но это должно пресекать причинных нарушений.