在一些特殊情况，有些单位或部门不希望非法用户的计算机设备接入内部局域网。这个时候作为网络管理员就可以通过对交换机进行端口和mac绑定技术来限制外来计算机设备接入内部网络。

我们知道每台计算机的网卡都有一个具有唯一性且不可更改的mac地址，这个地址可以作为计算机的有效识别标识。我们只要把这个mac地址和部门交换机对应的端口绑定了，那么其它计算机设备就无法在这个端口上使用了。

下面我们通过一个小实例来讲解交换机端口和mac如何绑定。

一、拓扑图

二、配置思路

将mac地址为0003.E404.A5C0的pc机绑定在交换机f0/1口上，将mac地址为0040.0BBD.9196的PC机绑定在f0/2口上。这样配置之后交换机1、2接口就只能接入这两台PC机，其他PC机连接上去是无法使用的。一定要注意是交换机这两个绑定接口只能使用绑定的PC机，而PC机还可以在其他端口使用。

三、配置命令

1、获取PC机Mac地址。

对于思科模拟器我们是直接点击config选项卡中的fastethernet，然后就可以看到Mac地址。

真实环境我们获取Mac地址的方法是，在开始菜单下"运行"，输入cmd命令，调用虚拟dos窗口，

输入ipconfig/all命令查看本地连接（本机网卡）中的Mac地址。

2、交换机配置

Switch>enable

Switch#config

Switch(config)#

Switch(config)#interface f0/1

Switch(config-if)#switchport mode access （将端口模式设置为access模式，默认是dynamic port，不能配置Mac绑定）

Switch(config-if)#switchport port-security （开启端口绑定）

Switch(config-if)#switchport port-security mac-address 0003.e404.a5c0（绑定pc0的Mac地址，必须写对，否则绑定就没用了）

Switch(config-if)#interface f0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address 0040.0bbd.9196

Switch(config-if)#exit

配置完成后两台PC机可以在这两个接口上正常使用。

接下来我们再接入一台其他PC机，如图所示。

这台PC机的Mac地址与绑定在端口上的Mac地址不同，所以交换机关闭端口，图中现在端口为红色，表示不能使用。

我们查看端口信息，端口为down状态，PC机在这个接口不能使用。

查看命令：在enable模式输入show interface f0/1

总结：这样配置完后，交换机1口只能使用pc0，2口只能使用pc1，其他PC机连接上去是无法使用的。但pc0和pc1连接到其他端口是可以正常使用的。

由于思科模拟器只能使用绑定Mac，我今天就讲解了端口和mac的绑定技术，端口还可以绑定其他信息我在后边还会陆续讲解。