MAC 地址过滤本身并没有提供太多保护。正如您所指出的，可以克隆 MAC 地址。这并不意味着它不能成为整体防御战略的一部分，但它可能需要大量工作，但回报却很少。

您需要一个全面的安全策略，其中可以包括以下内容：

• 物理访问限制
• @robut 提到的 802.1X，尽管这可能很复杂并且需要支持硬件/软件基础设施，同时让合法用户感到沮丧
• 可以将交换机上的端口安全设置为在任何给定时间或任何给定时间段内仅允许单个（或有限数量的）MAC 地址，以防止连接集线器、交换机、AP 等，包括端口禁用如果检测到违规，则在给定的时间段内（需要注意诸如 VoIP 电话之类的东西，PC 连接到电话，因为电话本身将有一个或多个 MAC 地址）
• 您还可以实施一项策略，要求禁用当前未使用的所有交换机端口（可能包括确保未使用的网络电缆未在数据柜中交叉连接）

正如我的一个锁匠朋友曾经告诉我的那样，“锁只会让诚实的人保持诚实。” 坏人总有办法；你的工作是让它不值得他们的努力。如果你提供足够多的保护层，只有最坚决的坏人才会花时间和精力。

您必须权衡风险与您愿意为保护网络而投入的资源（主要是时间和金钱，但也会损失生产力）。花费数千美元和许多工时来保护您以 10 美元购买的车库销售自行车可能没有多大意义。您需要制定一个计划并决定您可以承受多大的风险。

在内部使用 VPN，并像对待互联网一样对待安全区域之外的网络部分。

回答你的问题=否。

我认为没有一个完整的答案。最接近的是进行纵深防御。

从 Ron Maupin 建议的物理访问限制开始。然后让 802.1x 使用 EAP-TLS 对端口进行身份验证。

之后，您仍然可以在访问/分发层上设置防火墙。如果您更多地谈论内部网络系统，那么请确保每个人也通过代理进行身份验证。

不，因为 MAC 地址很容易被欺骗。802.1x 是适合这项工作的工具。对于 802.1x，其中一种连接方法可能是，当您连接（无论是无线还是有线）时，您会通过浏览器被发送到强制门户（又名启动页面），您可以在其中接受使用条款，可选择输入所需的密码等