下面在R1上对switch发起攻击  把MAC地址修改

闫辉

修改完MAC，发现switch就会报告日志,说这个接口出现了一个问题，SW1已经把这个接口改为err-disable state状态，因为学习到一个黑名单地址，这个地址是1234.1234.1234

查看接口状态，现在e0/0变为err-disable state状态

再查看接口port security，该接口已经被惩罚处理，shutdown关闭。

再看port-security ,显示在Et0/0接口学习到一个白名单地址后，又学习到一个黑名单地址。目前接口状态已经被关闭

被处罚关闭的接口如何开启？（手工开启，因为现在本身接口物理属于开启状态，只是逻辑被关闭，所以需要在接口下先配置关闭，然后再开启。）

现在这个接口状态是UP，port security学习到白名单地址（刚才的伪mac地址），交换机接口特性：接口关闭以后，该接口的MAC地址表项就会没有，然后再开启以后，获取的mac地址为合法地址（1234.1234.1234.1234），把这个地址加入到了合法白名单。

上图可以看到端口保护已经开启，为secure-up状态。最大MAC地址还是1个，现在有一个MAC地址是1234.1234.1234(伪地址)

再下图中可以看到我们当前学习到的地址为1234.1234.1234学习方式是securedynamic 动态学习到的，动态学习的缺点，只要接口shutdown之后，学习到的地址会消失。

接下来不希望消失怎么办。

SW1(config-if)#switchport port-security mac-address sticky开启粘滞MAC地址特性

下面在查看接口，状态变是，为securesticky

再show run看下该接口

show run int e0/0

会发现多出上图这条命令，这个命令是它自动生成的，因为我通过这个接口学习到白名单地址，我就会把白名单地址记录在接口上。

把这个接口shutdown之后  

会发现这个地址依旧还在

接下来，把PC1的mac地址还原回去

然后把SW1的接口UP。测试一下是否会做一个处罚行为

已经做了处罚行为。

开启SW接口之后，马上进入err-disable状态，因为我记录的1234.1234.1234这个地址还在，而现在PC1发送的帧源MAC地址变了，SW就认为这是黑名单地址，对于黑名单地址，SW1 就要对接口做一个惩罚