Профи, подскажите направление (чур не на выход).
Для сегмента SOHO/SMB, пускай с локалкой на коммутаторах L2/L2+, какое решение можно придумать для повышения уровня защиты от атак изнутри?
Дело осложняется тем, что имеется несколько VLAN-ов, при этом клиенты - с роумингом (это WiFi VOIP + ноутбуки и т.п.), подключаются к разным портам разных коммутаторов (сетка территориально распределенная). Кроме того, те же трубки не понимают AAA и прочие TACACS/Radius-ы. Навскидку хотелось бы иметь что-то типа базы мас-ов, но в централизованном виде. Т.е., скажем, чтобы не переживая за функционал беспроводных точек доступа, только "белые" мас-ки могли запрашивать dhcp-адреса и т.п. (на границе, ясное дело, стоит брандмауэр, который определяет правила "прогулок" из виланов в виланы и "на улицу").
Почему возник такой вопрос? Поломали (или подсмотрели) пароль от WiFi. Конечно, роутер никуда наружу не пустит, но голосовые дела - они ведь такие "щепетильные". Вдруг какой-нибудь гад начнет флудить в подсетке с теми же телефонами. По крайней мере лишит возможности внутренних абонентов вести переговоры, не говоря уже про хакерские маневры.

Повальная сегментация всего и вся + максимально точное разбиение по VLAN на свичах (чуть ли не влан на порт) + агрегация всего этого хозяйства (подсказка IP-Unnumbered) где-нибудь на фряхе или кошке.
1 раз нормально сделал и забыл.

Причем тут ip unnumbered? Сможете объяснить?
Да и что касается сегментации - тоже не понял. У меня и так всё логически поделено на виланы. В особо беспокоящем меня - только voip-трубки и lan-интерфейс ippbx.
Проблема в том, что хакер может сломать (тем или иным способом) пароль wi-fi и оказаться (неважно на каком коммутаторе) в этом вилане. Этого будет недостаточно, чтобы угробить всю сеть, но хватит (гипотетически), чтобы помешать работе всех или части трубок.

Сколько у вас коммутаторов и вланов суммарно?
Клиенты, подключающиеся к базовой станции имеют ли доступ друг до друга?
Насколько критичен плавный роуминг между базами?

Коммутаторов <=10. Виланов - 6-7. Бесшовный роуминг - обязателен!
Все виланы "собраны" на роутере, со всякими правилами хождения друг между другом и т.п. В каждом - dhcp (собсно, про ip unnumbered потому и не понял. интерфейсы с приватными айпи, никаких ограничений не испытываю и зачем экономить ip-адреса не понимаю). Теоретически беспроводные клиенты не должны иметь доступ к друг другу. Но isolated режима в моих АР вроде бы нет.

Во всей сети, даже в WiFi-ной, необходимо ввести схему VLAN-per-User или VLAN-на-Пользователя.
Пользователи подключающиеся к свичам так или иначе попадают в свой VLAN.
Каждый пользователь подключающийся через WiFi попадает в свой VLAN при помощи RADIUS-а, который скажет точке доступа пустить юзера в сеть или не пустить и если пустить то в какой VLAN. Авторизацию можно сделать прямо по МАС-ам, как самую простую и совершенно не требующую настройки со стороны абонента.
На агрегации или в ядре решается увидит пользователь "соседей" или нет.

От:

спасет только шифрование WiFi трафика!



WPA-PSK даже сотовые телефоны умеют



При VpU это не имеет значения. Разделение осуществляется самой схемой работы. Главное чтобы Ваши ТД VLAN-ы умели.

_________________
с уважением, БП