MAC 在许多现有环境中是可预测的。例如，在典型的企业网络中，您可能会发现许多物理机属于来自同一制造商的同一批货物，因此具有相似的 MAC（相同的 OUI 和连续的低位部分）。任何安全性依赖于不可预测 MAC 的系统在典型的企业环境中都会失败。

将 IP 地址与 MAC 绑定可能会揭示有关制造商、设备类型或某个地址背后的设备角色的信息。这不太可能揭示任何 nmap 不会揭示的东西，对于虚拟机，我看不出这会如何揭示任何东西。相反，如果您担心您的网络架构被暴露，那么对两者使用相同的命名方案会减少您透露的信息量（并不是说 MAC 地址很可能会出现在外部）。

如果您的机器通过外部可区分的网络迁移，则 MAC 地址成为识别元素，因此成为隐私问题。但在这种情况下，他们可能会在迁移时更改 IPv4 地址。在这种情况下，将 MAC 绑定到动态 IP 地址（如果您以某种方式管理它 - 标准 DHCP 将不适用）将增加隐私。

MAC 地址已经很容易预测了，因为它们只是 48 位值，由硬件供应商的范围归属（参见例如这个文件）。可以更改网络接口使用的 MAC 地址，但大多数人不会。此外，给定设备将非常自由地广播其 MAC 地址（它包含在它发送的每个以太网帧的标头中）。

有些网站会过滤 MAC 地址；即，设备发送的数据会被路由器自动丢弃，除非它似乎来自特定的已注册 MAC 地址。许多 WiFi 接入点可以通过这种方式进行配置，并且在组织 LAN 中也很常见（作为对认为BYOD可能是一个好主意的人的一种威慑）。如果您知道“允许”主机的 MAC 地址，则可以通过将自己的 MAC 地址更改为该值来绕过此过滤器。这并不是与了解机器 MAC 地址相关的真正安全问题。相反，问题在于系统管理员认为 MAC 地址可以用作一种秘密密码。

从理论上讲，MAC 地址只是本地的，这是 LAN 上主机之间的约定问题，并且在第一个路由器之外没有任何意义。这将使与 MAC 知识相关的安全问题在第一台路由器之外变得不可能。IPv6稍微改变了一点：如果在给定的 LAN 上，会发生以下情况：

• 系统管理员已经为 IPv4 配置了一切，使用NAT：他确信内部主机无法从外部联系，除非使用他在出口路由器上设置的特定转发规则；
• 路由器和内部主机的操作系统实际上是 IPv6 感知的（所有现代操作系统都是）；
• ISP作为实验决定“启用IPv6”，作为出口点的cable/DSL调制解调器开始广播路由器广告包；

然后，突然之间，可以使用 IPv6 从外部联系该网络的内部主机。IPv6 地址将由MAC 地址派生，因此不会马上出现问题。但是一旦攻击者猜到了一些内部主机的 MAC 地址，他们就可以直接连接到它们。

这里的问题是 NAT 不是防火墙。它的隔离效果只是一个副产品。然而，可以预见的是，许多系统管理员将 NAT 视为一项安全功能，并将MAC 地址的隐私视为另一项安全功能。

个人不这么认为。我记得看到的与 MAC 地址知识相关的唯一潜在安全问题是有关通过 Internet 披露无线 AP MAC 地址的隐私问题，就像所有可能相当于物理位置的地理位置数据库一样。