如何防止 MAC 地址欺骗?

如何防止 MAC 地址欺骗?

我想在交换机中定义Cisco允许的 MAC 白名单,但 MAC 欺骗可能会允许任何主机连接。我该如何防止 MAC 欺骗?

答案1

你无法阻止 MAC 欺骗,因为它完全是客户端的。这就是为什么没有人真的关心安全性的是使用 MAC 白名单或黑名单。

如果您关心控制哪些设备连接到您的网络,您应该使用 802.1x 和您控制的内部 CA 颁发的设备证书,或者使用某种形式的 NAC,如 Cisco ISE 或 Microsoft NAP。

答案2

你无法阻止 MAC 地址欺骗。你试图解决的问题是验证。MAC 地址根本不是提供身份验证的正确方法,因为它很容易被欺骗。甚至有正当的理由来欺骗 MAC 地址。

如果您想限制哪些计算机可以连接,您必须使用比依赖 MAC 地址更好的方法,最好是利用某种加密的方法。

答案3

你不能以某种方式通过交换机端口安全来阻止它吗?

http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/20ewa/configuration/guide/port_sec.html

您不会阻止主机欺骗其 mac,但其欺骗流量不会通过访问端口。


相关内容