实验小操作：

闫辉

我们先不开启port security，先到router上，no shutdown 在开启，先让switch学习到一个MAC地址信息，来测试一下这个接口当被黑客攻击的时候switchMAC地址表信息是怎样。

让router不停更换MAC地址，来让switch不停学习。为了模拟真实写  我们在交换机创建一个vlan ，把接口划到vlan中去。

                               
登录/注册后可看大图

创建vlan100，把e0/0接口划分到vlan100中。

                               
登录/注册后可看大图

在SW1上面查看一下mac地址，发现已经有了vlan100的地址，接口为E0/1

                               
登录/注册后可看大图

去R1上面看一下mac地址，看看是不是交换机上面这个。下图mac地址和上图一致。

                               
登录/注册后可看大图

R1的接口MAC地址为aabb.cc00.5000

Router源MAC地址是不可以改的，但是不修改MAC地址情况下能够让router通过这个接口发送帧的时候来改变源MAC地址，这个是可以的，我们修改下。

R1(config)#int e0/0                                           进入接口

R1(config-if)#mac-address 1234.1234.1234设置MAC

                               
登录/注册后可看大图

现在就是设置了一个管理型的MAC地址，再来看下R1的MAC地址。

                               
登录/注册后可看大图

Bia的地址依旧是本身的地址，就是说 router ROM中源MAC没有改变，但是在发送数据的时候会使用 1234.1234.1234，在去ping广播，之后查看 SWITCH MAC地址。

                               
登录/注册后可看大图

现在是同一vlan和接口学习2个MAC地址，不停的修改MAC让switch不停学习，最终MAC地址表会学习慢 ，导致正常的PC不能学习，收到流量就会泛红。我们现在把这个接口MAC地址信息去掉

R1(config)#int e0/0                    

R1(config-if)#no mac-address 1234.1234.1234

                               
登录/注册后可看大图

现在在switch上把e0/0接口关闭，让MAC地址还原。接着在接口上启用快速端口，开启

int e0/0

Shutdown

spanning-tree portfast

no shutdown

                               
登录/注册后可看大图

在switch接口上开启 port security ，记得先开access，

SW1(config)#int e0/0

SW1(config-if)#switchport port-security                       开启

SW1(config-if)#switchport port-security violation shutdown设置shutdown

SW1(config-if)#switchport port-security maximum 1           最大白名单

                               
登录/注册后可看大图

开启之后 查看接口的port security信息

                               
登录/注册后可看大图

上图信息：

port security：enabled       开启状态

Port staus ：               是Secure-up 表示该接口被保护 接口是UP

Violation Mode：          惩罚的行为是shutdown

aximum MAC Addresses      允许最大学习MAC地址是一个

Total MAC Addresses        当前已经学习到一个，是aabb.cc00.1000:10 这个地址 所属于vlan100