802.1AE 是 IEEE MAC 安全标准（也称为 MACsec），它定义了媒体访问独立协议的无连接数据机密性和完整性。它由 IEEE 802.1 工作组标准化。

(...)

IEEE 802.1AE (MACsec) 标准指定了一组协议，以满足保护通过以太网 LAN 的数据的安全要求。该规范通过识别 LAN 上的未授权操作并阻止它们进行通信来确保网络操作不完整。

MACsec 允许识别未经授权的 LAN 连接并将其排除在网络内的通信之外。与 IPsec 和 SSL 一样，MACsec 定义了一个安全基础设施，以提供数据机密性、数据完整性和数据源身份验证。

通过确保帧来自声称发送它的站，MACSec 可以减轻对第 2 层协议的攻击。

这个问题几乎太宽泛了，不能成为这里的主题。

第 1 层是物理层，是您的第一道防线。使用管道或管道是第 1 层防御，也是一种策略，要求禁用当前未使用的任何交换机端口，确保未使用的网线不会在数据柜中交叉连接，并限制对数据的访问壁橱和其他物理网络暴露的区域。

如果您想要第 2 层身份验证的标准，那就是 802.1X，尽管绕过它变得越来越容易（请参阅Bridge Too Far）和 802.1AE，它使用 MKA（MACsec 密钥协议）扩展了 802.1X 以进行身份​​验证和加密。有整本书（例如来自 Cisco Press：LAN Switch Security: What Hackers Know About Your Switches，由 Eric Vyncke、Christopher Paggen 撰写）关于 LAN 安全性。可以将交换机上的端口安全设置为在任何给定时间或任何给定时间段内仅允许单个（或有限数量的）MAC 地址，以防止连接集线器、交换机、AP 等，包括端口禁用（需要手动干预或在给定的时间段内）如果检测到违规（需要注意诸如 VoIP 电话之类的东西，其中 PC 连接到电话，因为电话本身将具有一个或多个 MAC 地址）。禁用大多数第 2 层协议（例如 CDP/LLDP、DTP、PAgP/LACP、VTP 等），因为它们容易受到攻击。特别限制中继上的 VLAN（手动修剪 VLAN）。将 DHCP 侦听与动态 ARP 检查和 IP 源保护结合使用。还有很多很多。

对于第 3 层、基于标准的解决方案，可以单独使用或与其他解决方案结合使用，IPsec 是为 IPv6 开发的，但后来经过改造，在RFC 1825、Internet 协议的安全架构及其替代方案中包含 IPv4 和 IPv6 ，RFC 2401和RFC 4301，以及各种扩展和修改的 RFC。

除了第 3 层之外，您还涉及一系列应用程序层身份验证方法（例如 SSL），但您只询问了第 3 层的安全性，应用程序和应用程序层协议在这里无关紧要。

安全性应使用分层方法，您需要在成本（不仅是直接成本，还有其他因素，例如时间、业务中断等）与您愿意承受的风险水平之间进行平衡。确定实施安全方法的成本，并将其与所涉及的风险进行比较。您永远不会是 100% 安全的，但是您可以让它变得如此困难，以至于只有最坚定的入侵者才能获得它，因此您试图让它不值得他们花费时间和精力。例如，您是否会花大量时间和精力闯入网络以获得一个简单的计算器应用程序，即使它比 Windows 计算器好得多？如果计算器具有价值数百万美元的专有计算，则可能值得。

如果您能证明修复比所涉及的风险更昂贵，审计员通常会认为您已经识别并评估了安全风险，但您还没有修复它。例如（如果你真的在建造，不要依赖这个），在一个 100 年一遇的洪泛区建造，那里有 1% 的机会（每年）洪水会摧毁你的建筑，你不需要洪水保险，当在 10 年洪泛区建造时，洪水有 10% 的机会（每年）摧毁您的建筑，需要洪水保险。如果实施第 2 层安全性的成本很高（例如 802.1x 需要基础设施，并且通常具有破坏性），则诸如几乎防弹的物理安全性之类的东西可以减轻对高级第 2 层安全性（例如 802.1x）的需求到企业）。

相互验证然后加扰通过该链接的通信，即，使用 IPSec。

Internet 协议安全 (IPsec) 是用于安全 Internet 协议 (IP) 通信的协议套件，它通过对通信会话的每个 IP 数据包进行身份验证和加密来工作。IPsec 包括用于在会话开始时在代理之间建立相互身份验证和会话期间要使用的加密密钥协商的协议。

IPsec 可用于保护一对主机之间（主机到主机）、一对安全网关之间（网络到网络）或安全网关和主机之间（网络到主机）的数据流. Internet 协议安全 (IPsec) 使用加密安全服务来保护 Internet 协议 (IP) 网络上的通信。IPsec 支持网络级对等身份验证、数据源身份验证、数据完整性、数据机密性（加密）和重放保护。

维基百科