问如何避免终端用户连接他们的无线路由器？

EN

有一件事我不知道，如果有人使用无线路由器或红色路由器连接我们的网络，我是否能够关闭sw端口？我想看看是否有阿鲁巴CLI会解决这个问题。

简单的答案是不，没有解决这个问题的“银弹”CLI命令。使用端口安全和802.1X将有助于防止此类设备从一开始就连接到一起，但是即使这些设备也可以工作。因此，要彻底了解，还需要采取一些步骤来检测它们何时连接。

首先，如果连接到网络的AP/路由器是作为网关运行，还是作为桥运行，则存在差异。

首先处理后者，因为通过简单地定位多个MAC地址连接到的端口，检测起来相对容易。这些端口要么具有AP (在桥模式下)，要么连接了另一个交换机，您将无法分辨其中的区别，但您也不希望终端用户在不知情的情况下连接到网络。快速修复方法是使用端口安全性将访问端口上允许的MAC地址数量限制在合理的数目上。

此外，大多数企业级无线流氓检测将能够将空中和有线网络中的流氓客户端关联起来。如果它们连接到非您的无线网络，并且也出现在您的有线网络上，那么系统应该能够找到它们(并可能采取行动)。

接下来，如果连接到网络的AP/路由器作为网关设备(即NAT，在设备后面运行它自己的DHCP服务，等等)，事情会变得更加复杂。这种设备的全部目的是允许多个设备连接到一个网络并显示为一个设备。

这并不意味着你无法找到它们，它只是意味着你(或者你使用的工具)需要采取进一步的行动或分析，而且很可能不止一个。以下是我熟悉的一些方法：

• 基于TTL的检测方法是我个人最喜欢的方法，因为它们往往是相当快速和可靠的(特别是在简单的网络上)。每一个IP数据包通过的路由器都会将TTL减少1。您实际如何执行这样的检测可以从简单的数据包捕获到使用具有这种类型检测功能的管理平台。下面是基于TTL检测的使用sFlow检测NAT设备上的一篇不错的文章。
• 网络扫描(特别是OS检测)可以基于设备外部可用的OS和/或服务可靠地定位这些设备中的许多。
• OS指纹方法(被动、DHCP等)可以使用捕获的通信量的各种特性来确定连接到网络的设备的性质。使用此方法，您将查找给出冲突结果的通信量(一些流量匹配OSX和其他匹配Windows)或能够识别恶意网络设备的流量。
• 对流量(容量、类型、性质等)的分析也可能表明，与网络上的“正常”客户端相比，这些设备是在哪里连接的。例如，您可以比较HTTP请求中的用户代理字符串是否存在差异(例如，有线网络上出现的移动设备通信量，或者两个不同版本的Chrome/Safari，它们都是从同一个IP发出请求，等等)。或者，如果有一个每个人都登录的服务器，您可能能够识别多个用户同时连接的IP地址。
• 如果无线网络是开放的(没有WEP/WPA/WPA 2)，只需连接到无线网络并确定本地网络上是否有IP，就可以提供足够的信息来在交换机上定位它。

预防方法和检测方法都不完善。最终，您需要决定您的组织/环境可以接受哪一级别的保护。在某些环境中，这可能只是实现一个或另一个。在其他环境中，它可能需要一系列的操作来防止和检测这样的流氓设备。显然，解决方案涉及的越多，组织就越需要致力于为实现和维护解决方案提供时间和资源。