MAC攻击
1.Mac地址洪泛攻击 因为mac地址表有限,恶意将mac表充满
2.Mac地址伪装 连续发送 接收 1 2所有消息 1 2 通讯断裂
保护方法:端口安全 维护一个合法的端口mac对应关系
mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1
在接口下开启端口安全
接口只能绑定一个mac,第一个通过此接口的mac强行绑定
switchport port-security maximum 1 更改mac 绑定数
switchport port-security mac-address 00d0.bab2.2611 绑定mac
惩罚机制
1.protect—当新的计算机接入时,如果该端口的mac条目超过最大数则这个新的计算机将无法接入,而原计算机不受影响,交换机不会发送警告信息;
2.restrict—当有新的计算机接入时,如果端口mac条目超过最大数量,则新的计算机无法接入,并且交换机会发出警告信息;
3.shutdown—当有新计算机接入时,如果该端口的mac条目数量超过最大值,则该端口将会被关闭,则这个新的计算机和原来的计算机都无法接入网络,这个时候需要接入原有的计算机,并且在该端口下使用shutdown和no shutdown命令重新打开端口;
经常发生惩罚,警告信息大量发送,导致交换机瘫痪,更改惩罚为shutdown
粘滞安全mac地址
绑定mac工程量大 实施困难 可选用粘滞安全mac
静态安全MAC地址可以使得交换机的接口(f0/1)只能接入某一固定的计算机,