MAC安全（防MAC泛洪攻击）

1.1 动态表项：通过对帧内的源MAC进行学习而来，有老化时间

1.2 静态表项：由管理员手工配置，不会老化

1.3 黑洞表项：丢弃特定源MAC或目的MAC,不会老化

静态和黑洞表项不会被动态表项覆盖，而动态表项可以被静态和黑洞表项覆盖

2.3 端口安全--可阻止其他非信任的主机通过本端口与设备通信 

2.4 MAC-Spoofing-Defend--一个端口学习的MAC不会再其他端口上学习

三、MAC表项添加

3.1 添加静态MAC表项 

mac-address static 0000-1111-2222 g0/0/1 vlan 10

3.2 添加黑洞MAC表项

mac-address blackhole 0000-2222-3333 

drop illegal-mac enable  #丢弃全0非法MAC地址报文功能

mac-address learning disable 

mac-limit maximum 500
mac-limit alarm enable/disable  #启用/关闭 警告

四、MAC 安全案例

4.1 TOP简图

[SW1]mac-address static 5489-9895-2b11  g0/0/1 vlan 1

4.3 将攻击者PC3 添加到MAC黑洞表项

[SW1]mac-address blackhole 5489-9846-4233 

4.4 开启端口安全，防MAC泛洪攻击

[SW1]port-group 1
[SW1-port-group-1]group-member g0/0/1 to g0/0/24
[SW1-port-group-1]port-security enable   #开启端口安全
[SW1-port-group-1]port-security protect-action shutdown  #配置保护动作 （思科默认是shutdown)
[SW1-port-group-1]port-security max-mac-num 2  #配置MAC地址学习数量2  （默认为1）
[SW1-port-group-1]port-security aging-time 200  #配置老化时间（可选，默认不老化）
[SW1-port-group-1]port-security mac-address sticky  #把动态学习的MAC变成静态,先学先转
[SW1-port-group-1]port-security mac-address sticky 0000-1111-2222 vlan1 #指定静态MAC转换为安全MAC