Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Iniciar uma conversa
1080
Apresentações
1
Útil
5
Respostas

Bloquear AP´s (router´s home user) conectados na rede por usuarios.

Ir para a Solução
David Ferreira
Level 1
Level 1

em ‎08-03-2023 03:36 AM

Tenho um problema com usuários que conectam um AP desses pra uso domestico tp-link por exemplo, em uma porta LAN do Switch e com isso "libera" conexão por Wi-Fi.


Existe alguma forma de bloquear para que não funcione esses AP´s? sendo que quando configurado e conectado ele funciona como uma bridge, já tentei bpdu-guard porem sem sucesso.

Rótulos:
0 Útil
1 Soluções Aceita

Soluções aceites

Ir para a Solução
Flavio Miranda
VIP
VIP
Em resposta a David Ferreira

em ‎08-03-2023 04:32 AM

Ah ok, agora ficou muito mais claro.  Não é algo muito simples e pode depender de outros elementos de rede como um Radius server, por exemplo.

  Com um Radius server, você poderia habilitar authenticação na porta do switch de forma que apenas disposivos conhecidos conseguiriam se conectar. Esse controle pode ser feito via Active Directory (dominio) ou através de uma base de mac address (MAB). Existem uma enorme variedade de soluções para Radius desde Cisco ISE até OpenSource.

 Uma solução mais "simples" seria criar uma Access List no proprio switch e permitir apenas os dispositivos que você quer. Porem, toda solução de controle trás alguns potenciais problemas. Por exemple, quando você cria esses bloqueios, se um usuário trocar de maquina, vc precisa atualizar as configurações para permitir esse novo dispositivo. Ou se alguem vai visitar uma de suas unidades, etc.

Outro ponto é que o mac address deveria ser único por dispositivo, mas é possível burlar essa regra para alguns dispositivos. Então não dá para confiar 100%.

A solução mais eficaz nesse caso é Radius com authenticação via dominio.

Ver solução na publicação original

5 RESPOSTAS 5

Ir para a Solução
Flavio Miranda
VIP
VIP

em ‎08-03-2023 03:51 AM

Olá @David Ferreira 

BPDU guard tem outra função.  Ela serve para evitar que outro dispositivo tente ser root além daquele que você determinou como root.

 O que você precisa depende to AP e não do switch.  Um AP pode ser trabalhar como uma.bridge mas isso precisa ser suportado pelo AP.

Outro ponto é que sendo bridge ou não, se ele tiver propagando um SSID e os usuários tiver a senha, eles vão se conectar.

0 Útil

Ir para a Solução
David Ferreira
Level 1
Level 1
Em resposta a Flavio Miranda

em ‎08-03-2023 03:57 AM

Olá Flavio, agradeço pela resposta. 

vou tentar explicar melhor, o problema que temos. 

em algumas unidades da nossa rede não temos Wi-Fi, e isso foi por decisão da empresa. porem alguns usuários mais "expertos" trazem esses AP´s de casa e conectam na rede LAN para terem Wi-Fi. Imagine a falha que temos na segurança da rede.

o que eu preciso é bloquear para que esses "AP´s"(roteadores TP-link por exemplo. não funcionem quando conectados na rede por esses usuários. é possível fazer esse tipo de bloqueio? 

0 Útil

Ir para a Solução
Flavio Miranda
VIP
VIP
Em resposta a David Ferreira

em ‎08-03-2023 04:32 AM

Ah ok, agora ficou muito mais claro.  Não é algo muito simples e pode depender de outros elementos de rede como um Radius server, por exemplo.

  Com um Radius server, você poderia habilitar authenticação na porta do switch de forma que apenas disposivos conhecidos conseguiriam se conectar. Esse controle pode ser feito via Active Directory (dominio) ou através de uma base de mac address (MAB). Existem uma enorme variedade de soluções para Radius desde Cisco ISE até OpenSource.

 Uma solução mais "simples" seria criar uma Access List no proprio switch e permitir apenas os dispositivos que você quer. Porem, toda solução de controle trás alguns potenciais problemas. Por exemple, quando você cria esses bloqueios, se um usuário trocar de maquina, vc precisa atualizar as configurações para permitir esse novo dispositivo. Ou se alguem vai visitar uma de suas unidades, etc.

Outro ponto é que o mac address deveria ser único por dispositivo, mas é possível burlar essa regra para alguns dispositivos. Então não dá para confiar 100%.

A solução mais eficaz nesse caso é Radius com authenticação via dominio.

Ir para a Solução
David Ferreira
Level 1
Level 1
Em resposta a Flavio Miranda

em ‎08-03-2023 07:41 AM

Boa, vou estudar essa opção de implantar um Radius. 

Valeu!

0 Útil

Ir para a Solução
Flavio Miranda
VIP
VIP
Em resposta a David Ferreira

em ‎08-03-2023 07:49 AM

Excelente @David Ferreira . Se precisar de alguma ajuda, so pingar aqui. 

0 Útil

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Comunidade de FSO Documentos de Ajuda sobre a Comunidade Vídeo dos últimos eventos
Customers Also Viewed These Support Documents