取消
显示结果 
搜索替代 
您的意思是: 
cancel
12863
查看次数
32
有帮助
13
回复

#提问达人#如何处理私自接随身WiFi

fortune
VIP Alumni
VIP Alumni
请教下各位,客户网络为了安全,禁用所有WiFi,但是还是很多员工使用随身WiFi,该公司规模不小,比较难以管理,企业内有思科,有华为的设备,如何才能禁用WiFi,因为某些原因不想用上网行为管理设备,路由器交换机有没有这种功能?
1 个已接受解答

已接受的解答

RenxChen
Spotlight
Spotlight
我找了下资料,移动WiFi设备都是共享物理网卡的,通过代理网关,那么TTL值就是2跳,对TTL至做下限制,如果正常PC到三层设备是TTL=5,那么使用移动WiFi设备的就是TTL=6,把TTL>5的全部DROP。
还没时间做lab,等我验证一番。

在原帖中查看解决方案

13 条回复13

RenxChen
Spotlight
Spotlight
我找了下资料,移动WiFi设备都是共享物理网卡的,通过代理网关,那么TTL值就是2跳,对TTL至做下限制,如果正常PC到三层设备是TTL=5,那么使用移动WiFi设备的就是TTL=6,把TTL>5的全部DROP。
还没时间做lab,等我验证一番。

YilinChen
Spotlight
Spotlight
技术手段不是万能的,有时候还是需要行政命令:P

adu102501
Level 1
Level 1
这部分从网路层难以处理,用Active Directory的GPO应该可以办到

RenxChen
Spotlight
Spotlight
从接入层来杜绝的话,只需要在接口启用信任MAC的验证。一切非法MAC地址,杀杀杀~
switchport port-security完美执行 静态绑定接口上主机mac。遇到非法mac,可以switchport port-security violation shutdown,关闭接入层接口,再配置一些行政手段辅助。
实施的时候,为了降低重复工作,可以将所有接入层接口使用switchport port-security mac-address sticky
绑定设备第一次学习到的MAC。需要注意的是第一次学习MAC前,要确保没有非法设备连接接入层交换机。
使用show port-security address检查设备的MAC绑定情况。

fortune
VIP Alumni
VIP Alumni
RenxChen 发表于 2017-10-13 16:35
从接入层来杜绝的话,只需要在接口启用信任MAC的验证。一切非法MAC地址,杀杀杀~
switchport port-securit ...

端口安全其实是没办法的,因为移动WiFi接在PC 上的,不是接在交换机端口的

陈默默
Spotlight
Spotlight
:lol发现一次500元

Wubin2010
Spotlight
Spotlight
上桌面管理的设备,或者搞域控

jingya2017
Level 1
Level 1
ttl可以改的。封不住滴。

jingya2017
Level 1
Level 1
除非高级设备应用层灭它,就看花多大成本了。

zhengwei272
Spotlight
Spotlight
接入交换机的端口安全 设置MAC数量1个,全局开启BPDU guard,如果无线环境是思科的话,试试rogue AP功能,不过这还是看公司环境,现在软件随身wifi好像也可以隐藏SSID了吧,这就比较麻烦了

savi_bj
Level 1
Level 1
ttl 和 Mac 绑定 不行,因为他是一个带nat 的设备 而且是接在主机上的 ,只能用更高第三方系统级别的设备,发现

wuleihen
Spotlight
Spotlight
问下,你这问题解决了吗??分享下,谢谢

马大蒙
Spotlight
Spotlight
802.1x...............................radius
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接