有没有办法检测并更重要的是阻止恶意客户端在对无线进行身份验证后运行 dhcpd 实例。
我们有一个 wlc,但 AP 处于具有本地路由的 L3 capwap 模式。没有通过 wlc 的客户端流量隧道。原因是如果通向远程站点的广域网出现故障,远程客户端仍可以在其站点使用无线网络。
Port-sec/source-guard/dai 在 L2 交换机接入端口上实施,但由于无线客户端无法在接入点之间有效漫游,因此无线中继已被信任。
我真的很感激一些帮助。
阻止通过无线连接的流氓/恶意 dhcpd 服务器
网络工程
思科
无线的
流氓
中间件
dhcp
2021-08-03 12:36:37
2个回答
一种确定的(但可能不是最佳/实用的)方法是始终拥有更快的 dhcp 服务,这样即使他们尝试提供 DHCP 响应,您的响应也会首先到达客户端,而他们的响应将被忽略。如果没有 wlc,您将无法使用很多过滤选项。“正确”选项是将 DHCP-REQUEST 出站 AP WLAN 或 DHCP-OFFER 丢弃在 AP WLAN 上(要么会阻止 wifi dhcp 服务有用但不会停止正常的 dhcp 客户端流量),但我从来没有看到在那个级别完成的。
有没有办法检测并更重要的是阻止恶意客户端在对无线进行身份验证后运行 dhcpd 实例。
这不是一个完美的解决方案,而是使用 WLC 将 ACL 推送到 AP 的无线接口;ACL 应阻止所有来自端口 udp/67 的流量。
出于所有显而易见的原因,您不希望使用自主接入点的 BVI 接口执行此操作。