Jump to content
Калькуляторы

Динамическое разграничение доступа к сети через WiFi AP или: как научить коммутатор контроллировать wifi.

Добрый день!

 

Имееем тупую WiFi Ap - подключена к порту cisco 2950\2960.

 

Задача - доверенные MAC-адреса - пущать в укзанные Vlan

Все остальные - в выделенный vlan.

Хочется что-то вроде VMPS - проверять на порту коммутатора базу trusted mac и при отрицательном результате- пересылать фрейм в специальный vlan.

 

P.S.0 802.1x - не предлагать -спасибо, не нужно.

P.S.1 Точка доступа максимально тупая(с помощью неё защищаться - не предлагать).

P.S.2 я в курсе что mac подделывается.

 

Есть знания\идеи? Спасибо!

Edited by KaraVan

Share this post


Link to post
Share on other sites

Такое можно сделать например на коммутаторе Zyxel GS-4012F - у него аксесс-листы позволяют на основе заданных правил менять PVID кадра.

 

Но лучше переосмыслить задачу, то что вы хотите - наверняка не лучший способ добиться того, что вам действительно нужно. Огласите цель.

Share this post


Link to post
Share on other sites

Алексей Андриянов, спасибо! Вы натолкнули на решение :)

 

Огласите цель.
Прозрачно изолировать WiFi клиентов на L2.

 

Share this post


Link to post
Share on other sites
Прозрачно изолировать WiFi клиентов на L2.

Так ведь АР до порта коммутатора то логически тоже коммутатор... если вы на порту свича вланы перемаркируете на основании маков это траффик между клиентами этой АР не ограничит...

Share this post


Link to post
Share on other sites
Прозрачно изолировать WiFi клиентов на L2.
Так ведь АР до порта коммутатора то логически тоже коммутатор... если вы на порту свича вланы перемаркируете на основании маков это траффик между клиентами этой АР не ограничит...

Если на самой АР он не запрещен.

Share this post


Link to post
Share on other sites
Прозрачно изолировать WiFi клиентов на L2.
Так ведь АР до порта коммутатора то логически тоже коммутатор... если вы на порту свича вланы перемаркируете на основании маков это траффик между клиентами этой АР не ограничит...

Если на самой АР он не запрещен.

Да. Причем:

1) Запретить коммутацию из WLAN в WLAN позволяют многие точки доступа

2) За точкой доступа все абоненты могут быть в одном VLAN, они там между собой не скоммутируются, свитчи не коммутируют кадры в тот же порт, с которого кадры пришли. Так что ваша прозрачная L2-изоляция достигается простым запретом обмена трафиком для беспроводных клиентов на точке доступа. Разумеется, нужно сделать еще L3-изоляцию, чтобы клиенты не смогли общаться между собой через роутер, но это делается элементарно с помощью firewall ACL.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this