一、基于端口的MAC地址绑定

　　思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：

　　Switch＃c onfig terminal

　　进入配置模式

　　Switch（config）# Interface fastethernet 0/1

　　＃进入具体端口配置模式

　　Switch（config-if）#Switchport port-secruity

　　＃配置端口安全模式

　　Switch（config-if ）switchport port-security mac-address MAC（主机的MAC地址）

　　＃配置该端口要绑定的主机的MAC地址

　　Switch（config-if ）no switchport port-security mac-address MAC（主机的MAC地址）

　　＃删除绑定主机的MAC地址

　　二、基于MAC地址的扩展访问列表

　　Switch（config）Mac access-list extended MAC

　　＃定义一个MAC地址访问控制列表并且命名该列表名为MAC

　　Switch（config）permit host 0009.6bc4.d4bf any

　　＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机

　　Switch（config）permit any host 0009.6bc4.d4bf

　　＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机

　　Switch（config-if ）interface Fa0/20

　　#进入配置具体端口的模式

　　Switch（config-if ）mac access-group MAC in

　　＃在该端口上应用名为MAC的访问列表（即前面我们定义的访问策略）

　　Switch（config）no mac access-list extended MAC

　　＃清除名为MAC的访问列表

　　三、IP地址的MAC地址绑定

　　只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。

　　Switch（config）Mac access-list extended MAC

　　＃定义一个MAC地址访问控制列表并且命名该列表名为MAC

　　Switch（config）permit host 0009.6bc4.d4bf any

　　＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机

　　Switch（config）permit any host 0009.6bc4.d4bf

　　＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机

　　Switch（config）Ip access-list extended IP

　　＃定义一个IP地址访问控制列表并且命名该列表名为IP

　　Switch（config）Permit 192.168.0.1 0.0.0.0 any

　　＃定义IP地址为192.168.0.1的主机可以访问任意主机

　　Permit any 192.168.0.1 0.0.0.0

　　＃定义所有主机可以访问IP地址为192.168.0.1的主机

　　Switch（config-if ）interface Fa0/20

　　#进入配置具体端口的模式

　　Switch（config-if ）mac access-group MAC1in

　　＃在该端口上应用名为MAC的访问列表（即前面我们定义的访问策略）

　　Switch（config-if ）Ip access-group IP in

　　＃在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略）

　　Switch（config）no mac access-list extended MAC

　　＃清除名为MAC的访问列表

　　Switch（config）no Ip access-group IP in

　　＃清除名为IP的访问列表