Есть локалка на два здания(соединены оптикой + медиаконверторы) находятся умники которые подключают к сети свои роутера со своими dhcp и естественно сеть вешается иногда даже петли появляются, бороться штрафами надоело так как он 500р (по докладными начальству) как можно решить данную проблему сеть такая
роутер(zyxel keenetic lite 3) - d-link des 1100-26(управляемые)(дальше на другое здание(1) и по текущему зданию ) - (1) - d-link des 1100-26 - дальше на wifi точки и рабочие пк
в сумме порядка 150 точек и кто додумается воткнуть себе wifi не понятно, так ка он положен только директору и замам и уровень сигнала очень низкий в пределах кабинета, dhcp подсеть 10.0.0.0/8 раскидана по отделам (никаких AD и прочего нет) раздаётся всем кто подключится, я уже думал прописать с психу статику каждому устройству, но к начальству по работе приходят люди которым надо wifi(подключаться им по проводу не вариант так как бывают телефоны) и они им пароль(меняю раз в месяц) говорят, но щас проблема в том что работники из своего пк отключают кабель, подключают в свой личный роутер и пользуются wifi на мобильниках и даже личных ноутах. Как быстро вычислять откуда роутер новый взялся ?
Отследите по трафику - у трафика от роутера будет ttl ниже на 1 от стандартного системного.
Вычислив mac супостата не спешим, а врубаем на портах свитча Mac Security с автообучением на несколько суток.
По окончании обучения баним mac вредителям.
Заодно можно включить огрпничение в 1 mac на порт.
С петлями бороться stp. С левыми dhcp - dhcp spoofing. С левыми mak адресами, привязкой mak порт, плюс можно на роутере сделать финт ушами и заносить в arp таблицу только выданные по dhcp адреса, а в dhcp сделать привязку. Все выше перечисленные способы не позволяют бороться с левыми устройствами, мак без проблем подделывается. Но они позволяют минимизировать их кол-во.
Если эти устройства все еще порождают проблемы, дальше в ход идет qos.
Если же вы хотите, чтобы в сети левых устройств не было, вам нужна авторизация, это может быть или 802.11x или vpn.
Могу предложить может не инженерный вариант, но : у вас есть где-то узловой коммутатор - на не в определенный момент времени собрать статистику с mac адресами (постоянными) за 2-3 дня. Далее, если появляется "левый" mac добавить его в правила ACL на узловом коммутаторе, далее тупо кто пожалуется- смотреть, что за устройство. Так же от петель должна быть LoopBack Detection (LBD) включена.
Если у вас все свичи управляемые/настраиваемые то проблем вообще не вижу
1. точки wi-fi и клиентов wi-fi в отдельный vlan, тужа же можно пару гостевых розеток в кабинете босов и админа
2. компы во вланы, туда Mac Security и DHCP с привязкой к MAC-листу
3. на точках wi-fi - изоляцию клиентов (остевая сеть)
Торкнут роутер - он не залогинится на порту коммутатора, подменят mac - отвалится рабочий комп - по wi-fi тоже пофиг
