4

У меня есть вопрос новичка относительно маршрутизации и точек доступа Wi-Fi.

Фон

У меня есть главный коммутатор (катализатор Cisco 2950), который находится позади моего маршрутизатора / брандмауэра. На этом коммутаторе у меня есть прослушивание IDS (snort) на порте Span, который отражает весь трафик, входящий и выходящий из сети. У меня также есть WiFi-маршрутизатор Linksys WRT54G, обеспечивающий беспроводную связь, чей «интернет-порт» также подключен к коммутатору.

Сеть сегментирована на две подсети: xx1.1/24 для проводной части сети и xx2.1/24, предоставленные linksys ap для беспроводной сети.

вопрос

Моя проблема заключается в том, что при просмотре предупреждений от snort любой трафик из сети xx1.1 может быть отнесен к фактическому компьютеру за моей сетью, но трафик, исходящий от компьютера на моем маршрутизаторе Wi-Fi, имеет исходный (или целевой) ip точки доступа сам.

Теперь я понимаю, что это потому, что маршрутизатор Wi-Fi является маршрутизатором и, как таковой, действует именно так, как он предназначен.

Вопрос

Мне нужно предоставить беспроводной доступ, но в то же время предоставить IDS представление о фактических машинах источника / назначения в беспроводной сети. Но я не уверен, если это возможно. Есть ли функция / технология / режим, которые можно найти на маршрутизаторах Wi-Fi, которые позволят мне расширить сеть xx1.1? Нужно ли заменять маршрутизатор Wi-Fi другим оборудованием?

Рассмотренные варианты

Я посмотрел на следующие варианты:

  1. Включение порта маршрутизатора Wi-Fi для мониторинга трафика в сети xx2.1/24. Мой текущий маршрутизатор Wi-Fi не обеспечивает возможности диапазона /зеркалирования и не поддерживает модифицированные образы прошивки.

  2. Установка Wi-Fi-роутера в некоторый "режим", который позволяет ему не "маршрутизировать" трафик. Мое оборудование в настоящее время имеет режим шлюза и режим маршрутизатора. Оба режима вызывают одну и ту же проблему. Есть ли другой "режим", который может быть доступен на других точках доступа Wi-Fi уровня потребителя?

  3. Приобретаете аппаратное обеспечение, которое не маршрутизирует трафик, но обеспечивает беспроводной доступ? Это вообще существует?

Я понимаю, что это сложный вопрос с несовершенной информацией. Полный ответ был бы фантастическим, но чего-то, что выводило меня на правильный путь, было бы более чем достаточно. Спасибо, что дочитали до конца!

|источник

2 ответа2

1

Если трафик от вашей AP все имеет IP-адрес AP, то он делает больше, чем маршрутизация: кажется, что это NATting. Другими словами, адреса, которые он дает беспроводным клиентам, являются частными для этой сети, и все они преобразуются AP в один адрес.

У меня нет WRT54G, но из крошечного поиска в Google я понимаю, что вы не можете отключить NAT, не потеряв при этом функциональность своего DHCP-сервера. С другой стороны, вам повезло иметь точку доступа, которая хорошо поддерживается сторонними прошивками. Если вы сможете установить прошивку DD-WRT (или одного из других проектов), у вас будет намного больше контроля над вашим устройством.

|источник
1

У вас есть две локальные сети вместо одной. Если вы не сделали этого по какой-либо причине, измените его так, чтобы у вас была только одна локальная сеть.

Отключите сервер DHCP WRT54G. Локальной сети нужен только один DHCP-сервер.

Подключите один из портов LAN WRT54G к одному из портов 2950. Отключите порт Интернет /WAN - этот маршрутизатор будет подключен только к вашей локальной сети.

Пусть любые устройства, подключенные к WRT54G, получат новые IP-адреса от маршрутизатора в вашей локальной сети.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .