交换机的CAM表数量有限,通过发送恶意的MAC地址填满交换机的MAC地址表

当交换机收到一个未知单播包会向所在广播域的所有端口进行泛洪

端口安全:【Port-security】
int f0/1

switchport port-security   /开启此命令默认接口容量为一个MAC地址violation【违规】行为为shutdown

switchport port-security max 3/ 指明端口能学习的MAC地址容量

switchport port-security mac-address 0001.0001.0001 手工指派合法的MAC地址,剩余合法MAC可以不用配置 由接口自动学习

switchport port-security aging time 60[分钟]

switchport port-security aging type inactivity /动态学习的合法MAC地址在不活动60分钟后自动过期

switchportport-security aging static/静态指定的MAC地址不活动60分钟后自动过期

switchport port-security mac-address sticky /将学习到的地址粘贴到running-config中 如果选择保存配置也会保存在startup-config中

switchport port-security violation shutdown / restrict / protect

show port-security interface f0/1

 

Violation行为:

1.shutdown 使接口处于Errdisable状态 并且发送SNMP告警

2.restrict 丢掉违规的数据帧 并且发送SNMP告警

3.protect丢掉违规的数据帧 不发送SNMP告警