目录

MAC攻击

MAC泛洪攻击

MAC欺骗攻击

MAC安全

MAC-Spoofing-Defend技术

MAC地址漂移技术

禁止/限制MAC地址学习配置

MAC优化技术

端口安全

端口安全功能

安全MAC地址分类

超过安全MAC地址限制数后的动作

注意事项

攻击者不停的在局域网中发送不一样的MAC地址（大量源MAC未知的数据包），然后交换机不停的学习从这个端口发送过来的MAC地址，由于每个交换机的MAC地址表的容量时有限的，当MAC表中的条目装满之后，就无法在学习对应的地址信息

后续当局域网用户发来的数据到达交换机后，由于没有对应MAC表项，会将数据包泛洪（交换机将大量正常的业务数据泛洪，可能导致网络宕机，并且黑客收到后可以对其进行监听）

MAC泛洪造成的影响
数据安全性降低，数据被监听，窃取
导致网络设备宕机，网络瘫痪
导致流量风暴，占用网络带宽和设备资源

防御方法

禁止MAC地址学习功能-即使用静态的MAC地址表（缺省会学习）、限制MAC地址学习数量、开启端口安全功能

攻击者伪造现网已经存在的一个MAC地址发送交换机，导致交换机的MAC的记录与真实的主机对应的MAC地址不一致，从而使交换机将报文错误的转发给攻击者。

此攻击一般会造成MAC地址漂移（一个接口学习到的MAC在同一Vlan内的其它接口收到）

防御方法

MAC-Spoofing-Defend、MAC地址漂移技术、开启端口安全功能

通过配置信任端口来防止MAC地址漂移，当接口配置为信任端口后，从此接口学习到的MAC地址不会在其他的接口上再学习到。缺省情况下接口都是非信任端口

相关配置

mac-spoofing-defend enable           全局模式下开启此功能

mac-spoofing-defend enable           接口模式下，将此接口配置为信任端口

注意事项

如果更换信任接口连接的设备，则新设备的MAC地址不能被其他接口学习到

通过配置接口的优先级来防止MAC地址漂移，具体分为两种

1. 同一MAC地址，从高优先级接口学习到的会覆盖从低优先级接口学习到的
2. 当接口优先级相同时，可以让后学习到的不会覆盖之前学习到的（默认会覆盖）

注意事项

对于禁止MAC地址漂移时的报文有丢弃和转发两种处理动作，缺省情况下是转发

相关配置

Mac-learning priority 1   配置接口的优先级（缺省是0，越大越优先）

Mac-learning priority flapping-defend action discard  配置禁止MAC地址漂移时报文的处理动作为丢弃

Undo mac-learning priority 2 allow-flapping  允许相同优先级为2的接口发生漂移

Mac-address learning active disable  禁止MAC地址学习功能

Mac-limit maximum 10  限制MAC地址学习数量

丢弃全0非法MAC地址报文- Drop illegal-mac enable

当网络中一些主机或者设备发生故障，会发送源目MAC全为0的报文，可以防止资源消耗

MAC地址刷新ARP功能- Mac-addresss update arp

当MAC地址表项的端口发生变化，会及时更新ARP表项

MAC地址表指导别人转发，ARP表指导自己转发，当两表项不同步时，可能会发生以下现象：

1. PC之间可以Ping通，交换机Ping不通PC
2. PC之间Ping不通，交换机可以Ping通PC

• 通过将接口学习到的动态MAC地址转换为安全MAC地址，只允许特定的SMAC的数据帧进行通信，阻止非法用户通过本接口和交换机通信，防止MAC欺骗
• 限制MAC地址学习数量，来防止MAC泛洪

安全动态MAC地址

使能端口安全功能但未使能Stick MAC功能时，接口上之前学习到的动态MAC表项会被删除，之后学习到的MAC地址将变为安全动态MAC地址。

设备重启后该表项会丢失，需要重新学习。

表项默认不老化，但是可以配置老化时间。

安全静态MAC地址

使能端口安全功能后，静态手工配置静态MAC地址

设备重启表项不会丢失

表项不会被老化

Sticky MAC地址

使能端口安全功能并且使能了Stick MAC功能时，会将安全动态MAC转为此Sticky MAC，将之后学习到的MAC也变为Sticky MAC地址，也可以手动配置Sticky-mac表项

设备重启表项不会丢失

表项不会被老化

接口上的安全MAC地址数量达到限制后，如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，缺省情况下会执行Restrict动作。

保护动作有三种：shutdown、restrict、protect

• 当执行动作为Shutdown时，接口关闭后不会自动恢复，需要由网络管理人员在接口视图下使用restart命令重启接口进行恢复
• 也可以在系统视图下执行error-down auto-recovery cause port-security interval 10，使得端口在10s后自动恢复

接口去使能Sticky MAC功能时，接口上的Sticky MAC地址会转为安全动态MAC地址

接口去使能端口安全功能时，安全动态MAC地址被删除，重新学习动态MAC地址