实验手册：MAC地址泛洪的攻击和解决办法

实验目的：

1、了解MAC地址泛洪攻击的原理

2、预防和解决交换机的MAC地址泛洪攻击

交换机的MAC地址表空间是有限的，但是正常情况下都可以正常使用。黑客可以通过大量虚假的MAC地址填充交换机MAC地址表，直到溢出为止。让交换机无法正常学习MAC地址，进而转发所有数据都成了广播，等于变成了一个HUB。

要解决这个问题，我们需要做交换机的端口安全。交换机的端口安全分为两种：

1、限制交换机接口学习MAC地址的数量

Switch(config-if)#switchport port-security 开启交换机的端口安全功能。该端口模式必须是静态（access或trunk）

Switch(config-if)#switchport port-security maximum 5 让该端口最多可以学习5个MAC地址，默认开启了端口安全功能以后，只能学习一个MAC地址

Switch#show port-security，查看开启了端口安全功能的端口

Switch#show port-security address，查看已经绑定使用的PC的MAC地址

一旦违反规定，会有三种惩罚情况：

1、shutdown 默认把该接口直接关闭，并且发出报警日志

2、protocol 丢包，不会再接收或转发任何数据

3、restrict 丢包，并发送告警到SNMP报警

Switch(config-if)#switchport port-security violation ? 可以通过该命令修改惩罚情况

2、交换机的接口绑定主机的MAC地址

可以对交换机的接口绑定PC机的MAC地址，只要PC机一连接到交换机，马上检查端口绑定的MAC地址，如果不匹配就会进入惩罚状态

Switch(config-if)#switchport port-security mac-address 0003.E499.26D6 手动绑定交换机的MAC地址。

当然如果企业中电脑很多，每一台电脑都需要我们手动绑定，那么会有很大的工作量。因此我们需要使用MAC地址绑定的黏贴功能。

当网络建立初期，如果我们认为企业中的所有PC都是合法的。我们就可以使用MAC地址的黏贴功能

SW2(config-if-range)#switchport port-security mac-address sticky

如果网络中容易频繁更换主机，我们可以设置黏贴超时