如果有人使用无线路由器或胭脂路由器连接我们的网络，我不知道是否可以关闭sw端口？...我想看看是否有任何 Aruba CLI 可以解决这个问题。

简单的答案是否定的，没有可以解决此问题的“银弹”CLI 命令。使用端口安全和 802.1X 将有助于防止此类设备首先连接，但即使是这些也可以解决。因此，要彻底，您还需要采取一些步骤来检测它们何时连接。

首先，连接到网络的 AP/路由器是作为网关运行还是作为网桥运行是有区别的。

首先处理后者，因为通过简单地定位多个 MAC 地址连接到的端口，它相对容易检测。这些端口将连接一个 AP（处于桥接模式）或另一个交换机，您将无法分辨其中的区别，但您也不希望最终用户在您不知情的情况下连接到网络。快速修复是使用端口安全将访问端口上允许的 MAC 地址数量限制为合理的数量。

此外，大多数企业级无线流氓检测将能够关联空中和有线网络上的流氓客户端。如果它们连接到您的无线网络以外的无线网络并且也出现在您的有线网络上，那么系统应该能够找到它们（并可能采取行动）。

继续，如果连接到您网络的 AP/路由器用作网关设备（即 NAT，在设备后面运行它自己的 DHCP 服务等），事情会变得有点复杂。此类设备的全部目的是允许多个设备连接到网络并显示为一个设备。

这并不意味着您无法找到它们，只是意味着您（或您使用的工具）需要采取进一步的行动或分析，而且很可能不止一个。以下是我熟悉的一些方法：

• 基于 TTL 的检测方法是我个人的最爱，因为它们往往相当快速和可靠（尤其是在简单的网络上）。IP 数据包通过的每个路由器都会将 TTL 递减 1。您实际执行此类检测的方式可以从简单的数据包捕获到使用具有此类检测功能的管理平台。这是一篇关于使用 sFlow基于 TTL 检测来检测 NAT 设备的不错的文章。
• 网络扫描（尤其是操作系统检测）可以根据设备外部可用的操作系统和/或服务可靠地定位许多此类设备。
• 操作系统指纹识别方法（被动、DHCP 等）可以使用捕获流量的各种特征来确定连接到网络的设备的性质。有了这个，您将寻找产生冲突结果的流量（一些流量与 OSX 匹配，而其他流量与 Windows 匹配）或可以识别流氓网络设备。
• 与网络上的“普通”客户端相比，流量分析（流量、类型、性质等）也可能表明此类设备的连接位置。例如，您可以比较 HTTP 请求中的用户代理字符串是否存在差异（即出现在有线网络上的移动设备流量或两个不同版本的 Chrome/Safari 都从同一 IP 发出请求等）。或者，如果每个人都登录了一台服务器，您可能能够识别多个用户同时连接的 IP 地址。
• 如果无线网络是开放的（没有 WEP/WPA/WPA2），只需连接到无线网络并确定您在本地网络上是否有 IP，就可以为您提供足够的信息来在交换机上找到它。

预防方法和检测方法都不是完美的。最终，您需要决定您的组织/环境可接受的保护级别。在某些环境中，这可能只是实现其中一个。在其他环境中，可能需要采取一系列措施来防止和检测此类恶意设备。显然，解决方案参与的越多，组织就越需要致力于提供时间和资源来实施和维护解决方案。