Một cách để cấm cắm AP wifi vào mạng công ty

Một cách để chặn người dùng mang AP wifi đến cắm vào mạng công ty.

Giả sử AP wifi sẽ phát 1 dải IP mới cho điện thoại bắt vào.
Làm thế nào để phân biệt được gói tin từ điện thoại và từ PC đi vào mạng công ty.

Solution: Dựa theo TTL của gói phát từ điện thoại sẽ nhỏ hơn TTL của gói phát từ AP, PC

Bắt thử 1 vài gói từ máy tính xem TTL là bao nhiêu, ví dụ 128. Qua mỗi hop router, sẽ giảm đi 1.

Như vậy gói tin từ điện thoại đi qua AP sẽ giảm TTL đi 1, còn lại là 127.
Hoặc để chính xác thì ta kiếm 1 AP rồi ping từ AP ra ngoài internet , xem gói có TTL bao nhiêu, thì gói từ điện thoại đi qua AP sẽ giảm đi 1.

=> sau đó lên router đặt ACL chặn các gói có TTL nhỏ hơn 128 (theo ví dụ trên)
##############################
ip access-list extended TTL
deny ip any any ttl lt 128 
permit ip any any 

####Rồi áp vào cổng router####
int gi0/0
ip access-group TTL in

##############################