主要此處的PC1是用Router模擬，改了個圖標。

先看一下SW1的E0/1接口的2層信息，默認管理模式為dynamic auto或者 dynamic desirable，下圖中顯示我的是 dynamic desirable，這種情況下就算接口工作在access狀態(tài)，Port security也是不可啟用的，所以先把接口管理模式設(shè)置為access。

把接口管理狀態(tài)改為access

現(xiàn)在我們再看一下，接口的管理模式。發(fā)現(xiàn)已經(jīng)改為access模式。

小操作：

我們先不開啟port security，先到router上，no shutdown 在開啟，先讓switch學習到一個MAC地址信息，來測試一下這個接口當被黑客攻擊的時候switchMAC地址表信息是怎樣。

讓router不停更換MAC地址，來讓switch不停學習。為了模擬真實寫??我們在交換機創(chuàng)建一個vlan ，把接口劃到vlan中去。

創(chuàng)建vlan100，把e0/0接口劃分到vlan100中。

在SW1上面查看一下mac地址，發(fā)現(xiàn)已經(jīng)有了vlan100的地址，接口為E0/1

去R1上面看一下mac地址，看看是不是交換機上面這個。下圖mac地址和上圖一致。

R1的接口MAC地址為aabb.cc00.5000

Router源MAC地址是不可以改的，但是不修改MAC地址情況下能夠讓router通過這個接口發(fā)送幀的時候來改變源MAC地址，這個是可以的，我們修改下。

R1(config)#int e0/0 ????????? ????????????????????????????????進入接口

R1(config-if)#mac-address 1234.1234.1234設(shè)置MAC

現(xiàn)在就是設(shè)置了一個管理型的MAC地址，再來看下R1的MAC地址。

Bia的地址依舊是本身的地址，就是說?router ROM中源MAC沒有改變，但是在發(fā)送數(shù)據(jù)的時候會使用?1234.1234.1234，在去ping廣播，之后查看?SWITCH MAC地址。

現(xiàn)在是同一vlan和接口學習2個MAC地址，不停的修改MAC讓switch不停學習，最終MAC地址表會學習慢?，導致正常的PC不能學習，收到流量就會泛紅。我們現(xiàn)在把這個接口MAC地址信息去掉

R1(config)#int e0/0 ???????????????????

R1(config-if)#no mac-address 1234.1234.1234

現(xiàn)在在switch上把e0/0接口關(guān)閉，讓MAC地址還原。接著在接口上啟用快速端口，開啟

int e0/0

Shutdown

spanning-tree portfast

no shutdown

在switch接口上開啟?port security ，記得先開access，

SW1(config)#int e0/0

SW1(config-if)#switchport port-security ??????????????????????開啟

SW1(config-if)#switchport port-security violation shutdown設(shè)置shutdown

SW1(config-if)#switchport port-security maximum 1 ??????????最大白名單

開啟之后?查看接口的port security信息

上圖信息：

port security：enabled ??????開啟狀態(tài)

Port staus ： ??????????????是Secure-up?表示該接口被保護?接口是UP

Violation Mode：??????????懲罰的行為是shutdown

aximum MAC Addresses ?????允許最大學習MAC地址是一個

Total MAC Addresses ???????當前已經(jīng)學習到一個，是aabb.cc00.1000:10?這個地址?所屬于vlan100

下面在R1上對switch發(fā)起攻擊??把MAC地址修改

修改完MAC，發(fā)現(xiàn)switch就會報告日志,說這個接口出現(xiàn)了一個問題，SW1已經(jīng)把這個接口改為err-disable state狀態(tài)，因為學習到一個黑名單地址，這個地址是1234.1234.1234

查看接口狀態(tài)，現(xiàn)在e0/0變?yōu)閑rr-disable state狀態(tài)

再查看接口port security，該接口已經(jīng)被懲罰處理，shutdown關(guān)閉。

再看port-security ,顯示在Et0/0接口學習到一個白名單地址后，又學習到一個黑名單地址。目前接口狀態(tài)已經(jīng)被關(guān)閉

被處罰關(guān)閉的接口如何開啟？（手工開啟，因為現(xiàn)在本身接口物理屬于開啟狀態(tài)，只是邏輯被關(guān)閉，所以需要在接口下先配置關(guān)閉，然后再開啟。）

現(xiàn)在這個接口狀態(tài)是UP，port security學習到白名單地址（剛才的偽mac地址），交換機接口特性：接口關(guān)閉以后，該接口的MAC地址表項就會沒有，然后再開啟以后，獲取的mac地址為合法地址（1234.1234.1234.1234），把這個地址加入到了合法白名單。

上圖可以看到端口保護已經(jīng)開啟，為secure-up狀態(tài)。最大MAC地址還是1個，現(xiàn)在有一個MAC地址是1234.1234.1234(偽地址)

再下圖中可以看到我們當前學習到的地址為1234.1234.1234學習方式是securedynamic 動態(tài)學習到的，動態(tài)學習的缺點，只要接口shutdown之后，學習到的地址會消失。