Eu quero definir no meu Cisco uma lista de permissões do MAC permitido, mas o spoofing do MAC pode permitir que qualquer host se conecte. Como posso evitar o spoofing de MAC?
Você não impede o spoofing de MAC, já que é totalmente do lado do cliente. Essa é a razão pela qual ninguém que realmente se preocupa com a segurança está usando listas de permissões ou listas negras do MAC.
Se você se preocupa em controlar quais dispositivos se conectam à sua rede, você deve usar 802.1x com certificados de dispositivo emitidos por sua própria CA interna que você controla ou com alguma forma em NAC como Cisco ISE ou Microsoft NAP.
Você não pode impedir o spoofing de MAC. O problema que você está tentando resolver é autenticação . E o endereço MAC simplesmente não é o caminho certo para fornecer autenticação, pois pode ser falsificado com muita facilidade. Existem até razões legítimas para falsificar um endereço MAC.
Se você quiser restringir quais computadores podem se conectar, é necessário usar métodos melhores do que depender do endereço MAC, de preferência métodos que aproveitam algum tipo de criptografia.
Você não pode de alguma forma evitá-lo via switchport port-security?
Você não impedirá um host de falsificar seu mac, mas seu tráfego falso não passará pela porta de acesso.
Tags networking cisco mac-address