交换安全（局域网安全）

若阅读时看不太懂叙述顺序建议先浏览位于底部的思维导图
MAC攻击
伪造大量虚假MAC地址发送给交换机，让交换机不停学习，将原MAC地址表中的原MAC地址删除，此时交换机转发数据找不到目标MAC地址，此时会进行未知单播帧洪泛
将中间的PC的MAC伪装为对方的MAC地址，但需要不停地发送，否则交换机会重新加载上被攻击方的MAC地址
解决方法：
一一对应捆绑接口与MAC地址，维护一个合法的关系
在接口下开启端口安全：开启后一个端口只能绑定固定数目个MAC地址，否则会进行惩罚，惩罚默认shutdown
惩罚：
（1）protect——当心计算机接入时，如果该端口的MAC条目数量超过最大数量，则这个新的计算机会无法接入，原有计算机不收影响，交换机也不发送警告信息；
（2）Restrict——当新计算机接入时，如果该端口的MAC条目超过最大数量，则这个新的计算机无法接入，并且交换机将发送警告信息
Shutdown——当新计算机接入时，如果该端口的MAC条目数量超过最大数量，则该端口将会关闭，则这个新的计算机和原有的计算机都无法接入网络，这是需要接入原有的计算机并在交换机的该端口下使用“shutdown”和“no shutdown”命令重新打开端口

Switchport protected 端口隔离：将本接口从本交换机中隔开，使本端口与其他端口通过二层协议无法通信，只能与网关通信（在公共场所的共用网络基本都要做）
VLAN隔离的本质是切割VLAN看表，将接口划入VLAN后该接口只能查本VLAN的接口看表，查不到其他接口的看表，此时本接口就被独立出来，无法与其余端口通信
Do