Может защита предложения RADIUS от имитировавших MAC-адресов, получающих доступ к ресурсам, защищенным с Аутентификацией MAC
Когда рабочий RADIUS через WPA2 Enterprise и 802.1x, клиенты, желающие получить доступ к сети, должен обеспечить допустимые учетные данные. Однако это не останавливает злонамеренные клиенты, создающие допустимые клиентские MAC-адреса, для получения доступа к аутентифицируемым в MAC сервисам, работающим на сети. Протокол RADIUS предотвращает это появление, так, чтобы у клиента с конкретным MAC, как гарантировали, будет тот уникальный MAC в сети, в то время как они остаются связанными?
... это не останавливает вредоносных клиентов, подделывающих действительные MAC-адреса клиентов...
Нет, не останавливает, и не предназначено для этого. Целью RADIUS является аутентификация действительных пользователей/услуг, RADIUS запускается на прикладном уровне. MAC Whitelisting эффективно обходит это, и да, создавая лазейку, которая позволит кому-нибудь получить доступ к этим ресурсам. Лучше всего вообще отключить MAC аутентификацию, если вас это беспокоит.
Также, ничто "не гарантирует", что узел будет иметь уникальный MAC или IP, пока он находится в сети. Да, по своей конструкции все узлы получают уникальный IP с завода, и если вы используете DHCP сервер, он не должен выдавать уже арендованный адрес, но пакеты могут создаваться людьми в черных свитерах с капюшонами, одетыми в маски Гая Фокса (Guy Fawkes), чтобы сделать так, чтобы пакет выглядел, как будто он пришел с определенного Mac или IP.
Это не значит, что ваша сеть не может быть настроена на обнаружение одного MAC адреса, приходящего на несколько портов, но это частично выходит за рамки моей компетенции и может выйти за рамки этого вопроса.