1. 端口安全控制合理MAC地址Port Security

    MAC泛滥攻击的原理和危害

    交换机主动学习客户端的MAC地址，并建立和维护端口和MAC地址的对应表以此建立交换路径，这个表就是通常我们所说的CAM表。CAM表的大小是固定的，不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC，快速填满CAM表，交换机CAM表被填满。黑客发送大量带有随机源MAC地址的数据包，这些新MAC地址被交换机CAM学习，很快塞满MAC地址表，这时新目的MAC地址的数据包就会广播到交换机所有端口，交换机就像共享HUB一样工作，黑客可以用sniffer工具监听所有端口的流量。此类攻击不仅造成安全性的破坏，同时大量的广播包降低了交换机的性能。

    防范方法

    限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击，macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包，可以在不到10秒的时间内填满交换机的CAM表。Cisco Catalyst交换机的端口安全（Port Security）和动态端口安全功能可被用来阻止MAC泛滥攻击。例如交换机连接单台工作站的端口，可以限制所学MAC地址数为1；连接IP电话和工作站的端口可限制所学MAC地址数为3：IP电话、工作站和IP电话内的交换机。

    通过端口安全功能，网络管理员也可以静态设置每个端口所允许连接的合法MAC地址，实现设备级的安全授权。动态端口安全则设置端口允许合法MAC地址的数目，并以一定时间内所学习到的地址作为合法MAC地址。

    通过配置Port  Security可以控制：

• 端口上最大可以通过的MAC地址数量
• 端口上学习或通过哪些MAC地址
• 对于超过规定数量的MAC处理进行违背处理

    端口上学习或通过哪些MAC地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口MAC，直到指定的MAC地址数量，交换机关机后重新学习。目前较新的技术是Sticky Port  Security，交换机将学到的mac地址写到端口配置中，交换机重启后配置仍然存在。
对于超过规定数量的MAC处理进行处理一般有三种方式（针对交换机型号会有所不同）：

• Shutdown：端口关闭。
• Protect：丢弃非法流量，不报警。
• Restrict：丢弃非法流量，报警。