防范交换机的CAM表溢出

防范交换机CAM表的溢出攻击，一方面可以限制交换机单个端口所连接的MAC地址数目，防止类似macof工具发起的攻击；另一方面可以使用Cisco Catalyst交换机的端口安全(Port Security)功能来阻止CAM表溢出攻击。通过交换机端口安全功能，网络管理员可以静态设置每个端口所允许连接的合法MAC地址，实现设备级的安全授权。也可设置端口允许访问的MAC地址的数目，并以一定时间内所学习到的地址作为合法MAC地址。

对于违背Port Security策略的端口一般有三种处理方式：Shutdown（端口关闭）、Protect（丢弃非法流量，不报警）和Restrict（丢弃非法流量，报警）。
 
以下实例为cisco交换机上利用port security feature来实现交换机的CAM溢出防护。
(config)#int fa0/1
(config-if)#switchport mode access
(config-if)#switchport port-security
(config-if)#switchport port-security mac-address 0090.F510.79C1
(config-if)#switchport port security maximum 1
(config-if)#switchport port-security violation protect