我知道这不是一个新话题,但需要澄清几件事。
我有一个典型的办公室,其主机连接到同一 VLAN 中的 Cisco 3560-X。
我的目标是防止未经授权的主机访问默认 GW 并随后访问。我的想法是 MAC ACL 可以防止未经授权的主机对默认 GW 进行 arping,但如果他们知道 GW 的 mac,则不会阻止他们添加静态 ARP。那么如何阻止默认 GW 获取未经授权主机的 mac 地址呢?我的 ACL 将只允许已知的可信 MACS。这甚至可以工作吗?
注意我无权访问路由器/默认 GW 连接到 3560-X。
在这种情况下,802.1X 不是一个选项。
干杯
马特
802.1x就是答案。试图通过 MAC ACL 限制访问是一场打地鼠游戏。当用户不能被信任时,人们会采取这些措施——他们会插入不应该插入的设备。现代操作系统允许更改 MAC。如果我知道任何允许的 MAC,我可以将我的设备设置为该地址并获得访问权限。是的,如果同一个 MAC 存在多个地方,会造成小混乱;日志将充满“MAC 已移动”,但它仍然可以工作。
我同意其他所有人的观点,即 MAC 过滤是一种糟糕的方法。但是,如果您没有其他选择,并且您了解这种方法的弱点,那么您可以做一些比弄乱 MAC ACL 更简单的事情。
在交换机上启用端口安全。有了这个你可以
将每个端口限制为有限数量的 MAC 地址。您可以将其设置为只允许一个 MAC。
配置粘性 MAC。这将导致交换机记住该端口上的 MAC 地址并阻止任何其他端口。如果将其他设备插入端口,它将被阻止。
您还可以禁用未使用的端口,以防止有人插入空端口。