通過此文檔，你可以了解什么是靜態(tài)/動態(tài)MAC，如何解決2層MAC 地址欺騙攻擊，以及如何解決單播泛洪。

通常，交換機會自動學(xué)習(xí) MAC 地址，并記錄其從哪里學(xué)習(xí)到的，如果不知道其目的地將泛洪出去。

此過程容易受到第 2 層 MAC 地址欺騙攻擊，攻擊者通過欺騙某個 MAC 地址來更改 MAC 地址表中的條目，處理這個問題的一個非常簡單的方法是手動配置 MAC 地址表中的條目，靜態(tài)條目將始終覆蓋動態(tài)條目，可以指定 MAC 地址所在的接口或告訴交換機丟棄其流量。

看如下案例

為了證明這一點，我們只需要兩個設(shè)備，生成一些流量的路由器和查看（和配置）MAC 地址表的交換機。配置如下:

R1(config)#interface fastEthernet 0/0

R1(config-if)#no shutdown

R1(config-if)#ip address 192.168.12.1 255.255.255.0

SW1(config)#interface vlan 1

SW1(config-if)#no shutdown

SW1(config-if)#ip address 192.168.12.2 255.255.255.0

我們將執(zhí)行快速 ping 以生成一些流量，以便 SW1 可以了解 R1 的 FastEthernet 0/0 接口的 mac 地址：

R1#ping 192.168.12.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms

我們來看看MAC地址表：

SW1#show mac address-table dynamic vlan 1

Mac Address Table

-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----

1 001d.a18b.36d0 DYNAMIC Fa0/1

Total Mac Addresses for this criterion: 1

這是 R1 的 MAC 地址，動態(tài)學(xué)習(xí)。讓我們把它變成一個靜態(tài)條目：

SW1(config)#mac address-table static 001d.a18b.36d0 vlan 1 interface fastEthernet 0/1

使用 mac address-table static 命令創(chuàng)建靜態(tài)條目后，下面是 MAC 地址表現(xiàn)在的樣子：

SW1#show mac address-table static | include Fa0/1

1 001d.a18b.36d0 STATIC Fa0/1

它是一個靜態(tài)條目,這會阻止我們將 R1 移動到 SW1 上的另一個接口，除非我們更改靜態(tài)條目,就像之前提到的，我們也可以更改靜態(tài)條目讓它丟棄所有流量。這是如何做到的：

SW1(config)#mac address-table static 001d.a18b.36d0 vlan 1 drop

所有發(fā)往 R1 的 MAC 地址的幀將被丟棄：

R1#ping 192.168.12.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

由于我們的靜態(tài)丟棄條目，我們的 ping 失敗。

文章最后列出兩臺設(shè)備的配置：

hostname R1

!

ip cef

!

interface FastEthernet0/0

ip address 192.168.12.1 255.255.255.0

!

End

hostname SW1

!

interface Vlan1

ip address 192.168.12.2 255.255.255.0

!

mac address-table static 001d.a18b.36d0 vlan 1 drop