我们先不开启port security,先到router上,no shutdown 在开启,先让switch学习到一个MAC地址信息,来测试一下这个接口当被黑客攻击的时候switchMAC地址表信息是怎样。 让router不停更换MAC地址,来让switch不停学习。为了模拟真实写 我们在交换机创建一个vlan ,把接口划到vlan中去。
创建vlan100,把e0/0接口划分到vlan100中。
在SW1上面查看一下mac地址,发现已经有了vlan100的地址,接口为E0/1
去R1上面看一下mac地址,看看是不是交换机上面这个。下图mac地址和上图一致。
R1的接口MAC地址为aabb.cc00.5000 Router源MAC地址是不可以改的,但是不修改MAC地址情况下能够让router通过这个接口发送帧的时候来改变源MAC地址,这个是可以的,我们修改下。 R1(config)#int e0/0 进入接口 R1(config-if)#mac-address 1234.1234.1234设置MAC
现在就是设置了一个管理型的MAC地址,再来看下R1的MAC地址。
Bia的地址依旧是本身的地址,就是说 router ROM中源MAC没有改变,但是在发送数据的时候会使用 1234.1234.1234,在去ping广播,之后查看 SWITCH MAC地址。
现在是同一vlan和接口学习2个MAC地址,不停的修改MAC让switch不停学习,最终MAC地址表会学习慢 ,导致正常的PC不能学习,收到流量就会泛红。我们现在把这个接口MAC地址信息去掉 R1(config)#int e0/0 R1(config-if)#no mac-address 1234.1234.1234
现在在switch上把e0/0接口关闭,让MAC地址还原。接着在接口上启用快速端口,开启 int e0/0 Shutdown spanning-tree portfast no shutdown
在switch接口上开启 port security ,记得先开access, SW1(config)#int e0/0 SW1(config-if)#switchport port-security 开启 SW1(config-if)#switchport port-security violation shutdown设置shutdown SW1(config-if)#switchport port-security maximum 1 最大白名单
开启之后 查看接口的port security信息
上图信息: port security:enabled 开启状态 Port staus : 是Secure-up 表示该接口被保护 接口是UP Violation Mode: 惩罚的行为是shutdown aximum MAC Addresses 允许最大学习MAC地址是一个 Total MAC Addresses 当前已经学习到一个,是aabb.cc00.1000:10 这个地址 所属于vlan100
|