如何在平面网络上更改 ip TTL=1 以确保安全

网络工程 路由 安全 设计 IEEE-802.1x 拓扑
2022-02-19 02:40:40

在高层公寓大楼的网络上工作。他们有一个核心路由器/防火墙充当 dhcp 服务器和大约 7 个交换机(所有 l3 交换机)。他们有几个 vlan 来根据一些事情来分割流量;其中之一是速度层。我的公司大约一周前接管了这个网络。

到目前为止,我看到的问题之一是它们没有使用任何 MAC 地址限制。这是一个问题,因为居民正在插入由于我们通过 AP 提供 WiFi 而在网络上被禁止的 WiFi 路由器。DHCP 侦听处于活动状态,但这不会阻止他们使用这些路由器。

我的问题是除了我提到的让用户无法使用未知家庭路由器之外,还有其他选择吗?

我最近读到了一些关于更改 IP 数据包 TTL = 1 的内容,因此家庭路由器在返回 LAN 的流量上下降,这将是很棒的。我还没有找到一种方法来使用我拥有的拓扑。似乎 ttl 方法主要用于使用路由协议在多个路由器之间进行路由时。如果我能让这种方法发挥作用,那么这对我来说是一个胜利。

你知道我怎样才能让它只使用 1 个路由器和第 3 层交换机吗?

1个回答

为什么使用 WiFi 路由器对您来说是个问题?因为DHCP?我认为 TTL=1 不会解决您的问题。您可以查看 VLAN(每个公寓一个 VLAN)或 PVLAN(如果您需要 > 4000 个 VLAN)。另一种可能的解决方案:端口安全性和每个交换机端口允许的 MAC 地址列表。

其它你可能感兴趣的问题
上一篇确定要借多少位 下一篇“停止并等待”还是“停止并等待 ARQ”?