我想在我的Cisco交换机中定义允许的MAC白名单,但MAC欺骗可能允许任何主机连接。 我怎样才能防止MAC欺骗?
你不会阻止MAC欺骗,因为它完全是客户端。 这就是没有人真正关心安全性的原因是使用MAC白名单或黑名单。
如果您关心控制哪些设备连接到您的networking,则应该使用802.1x以及由您自己控制的内部CA颁发的设备证书,或者在NAC(如Cisco ISE或Microsoft NAP)上以某种forms使用设备证书。
你不能防止MAC欺骗。 您正在尝试解决的问题是身份validation 。 而MAC地址根本不是提供authentication的正确方式,因为它很容易被欺骗。 甚至有合法的理由来欺骗一个MAC地址。
如果要限制哪些计算机可以连接,则必须使用比依赖MAC地址更好的方法,最好采用某种encryption方法。
难道你不知道通过switchport端口安全防止它?
您不会阻止主机欺骗其MAC,但其欺骗性stream量不会通过访问端口。