我想在交换机中定义Cisco允许的 MAC 白名单,但 MAC 欺骗可能会允许任何主机连接。我该如何防止 MAC 欺骗?
答案1
你无法阻止 MAC 欺骗,因为它完全是客户端的。这就是为什么没有人真的关心安全性的是使用 MAC 白名单或黑名单。
如果您关心控制哪些设备连接到您的网络,您应该使用 802.1x 和您控制的内部 CA 颁发的设备证书,或者使用某种形式的 NAC,如 Cisco ISE 或 Microsoft NAP。
答案2
你无法阻止 MAC 地址欺骗。你试图解决的问题是验证。MAC 地址根本不是提供身份验证的正确方法,因为它很容易被欺骗。甚至有正当的理由来欺骗 MAC 地址。
如果您想限制哪些计算机可以连接,您必须使用比依赖 MAC 地址更好的方法,最好是利用某种加密的方法。
答案3
你不能以某种方式通过交换机端口安全来阻止它吗?
您不会阻止主机欺骗其 mac,但其欺骗流量不会通过访问端口。