實(shí)驗(yàn)內(nèi)容有：

靜態(tài)MAC地址

黑洞MAC地址

安全動(dòng)態(tài)MAC地址

Sticky MAC地址

實(shí)驗(yàn)拓?fù)淙缦拢?/p>

拓?fù)湔f明：PC1-PC4的IP地址和MAC地址如圖，4臺(tái)終端都屬于vlan1；

實(shí)驗(yàn)一：靜態(tài)MAC地址實(shí)驗(yàn)

靜態(tài)MAC地址介紹：

?由用戶手工配置，并下發(fā)到各接口板，表項(xiàng)不可老化。

?在系統(tǒng)復(fù)位、接口板熱插拔或接口板復(fù)位后，保存的表項(xiàng)不會(huì)丟失。

?接口和MAC地址靜態(tài)綁定后，其他接口收到源MAC是該MAC地址的報(bào)文將會(huì)被丟棄。

?一條靜態(tài)MAC地址表項(xiàng)，只能綁定一個(gè)出接口。

?一個(gè)接口和MAC地址靜態(tài)綁定后，不會(huì)影響該接口動(dòng)態(tài)MAC地址表項(xiàng)的學(xué)習(xí)

第一步：新的交換機(jī)MAC地址表為空，所以我們需要讓交換機(jī)學(xué)習(xí)到終端的MAC地址，用PC1分別取ping其它PC，然后查看交換機(jī)的MAC地址表項(xiàng)如下圖所示：

在Type字段我們可以看到MAC的類型是dynamic，也就是動(dòng)態(tài)MAC地址，默認(rèn)的交換機(jī)自己學(xué)習(xí)到的就是這種類型。

交換機(jī)的Eth0/0/1接口學(xué)習(xí)到了兩個(gè)MAC地址，因?yàn)樵摻涌谙掠袀€(gè)Hub，接了兩個(gè)終端PC1和PC2；

第二步：做靜態(tài)的MAC地址綁定，這里我們挑選PC3，將PC3的MAC地址綁定在交換機(jī)Eth0/0/3口；

在系統(tǒng)視圖下執(zhí)行命令mac-address static mac-address interface-type interface-number vlan vlan-id，添加靜態(tài)MAC表項(xiàng)。

然后我們重新查看交換機(jī)的MAC地址表項(xiàng)：

可以看到Eth0/0/3口的MAC地址類型為static。此時(shí)，如果我們把PC3接到交換機(jī)的其它接口上，那么PC3將不能與其它設(shè)備通信，因?yàn)榻涌诤蚆AC地址靜態(tài)綁定后，其他接口收到源MAC是該MAC地址的報(bào)文將會(huì)被丟棄。而如果有新的設(shè)備接到了交換機(jī)的Eth0/0/3上，則該設(shè)備是可以和其它設(shè)備進(jìn)行正常通信的，因?yàn)橐粋€(gè)接口和MAC地址靜態(tài)綁定后，不會(huì)影響該接口動(dòng)態(tài)MAC地址表項(xiàng)的學(xué)習(xí)。如果想讓其它設(shè)備接在

Eth0/0/3口也不能正常通信的話，可以關(guān)閉交換機(jī)的MAC地址學(xué)習(xí)功能。命令如下：

進(jìn)入到接口視圖，mac-add learning disable action discard

總結(jié)：通過綁定靜態(tài)MAC地址表項(xiàng)，可以保證合法用戶的使用，防止其他用戶使用該MAC進(jìn)行攻擊。

實(shí)驗(yàn)二：黑洞MAC地址實(shí)驗(yàn)

黑洞MAC地址介紹：

?由用戶手工配置，并下發(fā)到各接口板，表項(xiàng)不可老化。

?在系統(tǒng)復(fù)位、接口板熱插拔或接口板復(fù)位后，保存的表項(xiàng)不會(huì)丟失。

?配置黑洞MAC地址后，源MAC地址或目的MAC地址是該MAC的報(bào)文將會(huì)被丟棄。

黑洞MAC地址的實(shí)驗(yàn)比較簡(jiǎn)單，這里我們把PC4的MAC地址配置為黑洞MAC地址，在系統(tǒng)視圖下配置，命令為：

mac-address blackhole mac-address [ vlan vlan-id |vsi vsi-name ]，

配置完成后，其它設(shè)備都不能和PC4通信。

總結(jié)：通過配置黑洞MAC地址表項(xiàng)，可以過濾掉非法用戶

實(shí)驗(yàn)三：安全動(dòng)態(tài)MAC地址實(shí)驗(yàn)

在對(duì)接入用戶的安全性要求較高的網(wǎng)絡(luò)中，可以配置端口安全功能及端口安全動(dòng)態(tài)MAC學(xué)習(xí)的限制數(shù)量。此時(shí)接口學(xué)習(xí)到的MAC地址會(huì)被轉(zhuǎn)換為安全MAC地址，接口學(xué)習(xí)的最大MAC數(shù)量達(dá)到上限后不再學(xué)習(xí)新的MAC地址，僅允許這些MAC地址和交換機(jī)通信。而且接口上安全MAC地址數(shù)達(dá)到限制后，如果收到源MAC地址不存在的報(bào)文，無論目的MAC地址是否存在，交換機(jī)即認(rèn)為有非法用戶攻擊，就會(huì)根據(jù)配置的動(dòng)作對(duì)接口做保護(hù)處理。這樣可以阻止其他非信任用戶通過本接口和交換機(jī)通信，提高交換機(jī)與網(wǎng)絡(luò)的安全性。

這里我們?cè)诮粨Q機(jī)的Eth0/0/1口下做安全動(dòng)態(tài)MAC地址的實(shí)驗(yàn)。

第一步：我們將Eth0/0/1口配置為最大安全動(dòng)態(tài)MAC地址數(shù)量為2，則我們?cè)贖ub下新增設(shè)備將不能和其它的設(shè)備通信。配置如下：進(jìn)入到接口視圖

這時(shí)我們查看交換機(jī)的MAC地址表：

可以看到，此時(shí)Eth0/0/1口下的MAC地址為安全MAC地址。

第二步：我們?cè)贖ub下新增一臺(tái)PC，地址為1.1.1.6/24，然后用1.1.1.6去ping PC3（需要將PC3連接至交換機(jī)eth0/0/3口，并且不要去ping PC1和PC2，他們?nèi)齻€(gè)在同一個(gè)Hub下，所以肯定能通信），看是否能夠通信。

可以看到是不能夠和PC3（1.1.1.3）通信的，并且，交換機(jī)上有告警信息：

告訴我們Eth0/0/1口的MAC地址到達(dá)限制了，并且端口的動(dòng)作是restrict；端口安全的保護(hù)動(dòng)作有三個(gè)：

我們可以在接口下用命令port-security protect-action { protect | restrict | shutdown }來配置端口安全保護(hù)動(dòng)作。缺省情況下，端口安全保護(hù)動(dòng)作為restrict。

實(shí)驗(yàn)四：Sticky MAC地址