Jump to content

Динамическое разграничение доступа к сети через WiFi AP

KaraVan
 Share

Recommended Posts

KaraVan

KaraVan

Posted
Posted (edited)

Добрый день!

 

Имееем тупую WiFi Ap - подключена к порту cisco 2950\2960.

 

Задача - доверенные MAC-адреса - пущать в укзанные Vlan

Все остальные - в выделенный vlan.

Хочется что-то вроде VMPS - проверять на порту коммутатора базу trusted mac и при отрицательном результате- пересылать фрейм в специальный vlan.

 

P.S.0 802.1x - не предлагать -спасибо, не нужно.

P.S.1 Точка доступа максимально тупая(с помощью неё защищаться - не предлагать).

P.S.2 я в курсе что mac подделывается.

 

Есть знания\идеи? Спасибо!

Edited by KaraVan
Алексей Андриянов

Алексей Андриянов

Posted
Posted

Такое можно сделать например на коммутаторе Zyxel GS-4012F - у него аксесс-листы позволяют на основе заданных правил менять PVID кадра.

 

Но лучше переосмыслить задачу, то что вы хотите - наверняка не лучший способ добиться того, что вам действительно нужно. Огласите цель.

KaraVan

KaraVan

Posted
  • Author
Posted

Алексей Андриянов, спасибо! Вы натолкнули на решение :)

 

Огласите цель.
Прозрачно изолировать WiFi клиентов на L2.

 

Stak

Stak

Posted
Posted
Прозрачно изолировать WiFi клиентов на L2.

Так ведь АР до порта коммутатора то логически тоже коммутатор... если вы на порту свича вланы перемаркируете на основании маков это траффик между клиентами этой АР не ограничит...

SSD

SSD

Posted
Posted
Прозрачно изолировать WiFi клиентов на L2.
Так ведь АР до порта коммутатора то логически тоже коммутатор... если вы на порту свича вланы перемаркируете на основании маков это траффик между клиентами этой АР не ограничит...

Если на самой АР он не запрещен.
Алексей Андриянов

Алексей Андриянов

Posted
Posted
Прозрачно изолировать WiFi клиентов на L2.
Так ведь АР до порта коммутатора то логически тоже коммутатор... если вы на порту свича вланы перемаркируете на основании маков это траффик между клиентами этой АР не ограничит...

Если на самой АР он не запрещен.

Да. Причем:

1) Запретить коммутацию из WLAN в WLAN позволяют многие точки доступа

2) За точкой доступа все абоненты могут быть в одном VLAN, они там между собой не скоммутируются, свитчи не коммутируют кадры в тот же порт, с которого кадры пришли. Так что ваша прозрачная L2-изоляция достигается простым запретом обмена трафиком для беспроводных клиентов на точке доступа. Разумеется, нужно сделать еще L3-изоляцию, чтобы клиенты не смогли общаться между собой через роутер, но это делается элементарно с помощью firewall ACL.

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.