好多时候，往往是出于安全性考虑，客户要求把交换机下挂pc的mac地址IP做一绑定，这样只有特定的mac和ip才可以访问特定的端口，不让客户随意更改自己的IP地址，而且其他pc插到我用的这个端口上也是无法访问网络资源，下面我们来共同研究一下MAC地址＋IP＋端口的绑定方法方法一：设备要求：三层设备，3526以上，而且必须是实现了三层通信（也就是在交换机上面每个vlan的三层接口都必须配置上IP地址首先用static命令把mac和端口绑定到一起，然后用AM命令把IP绑定到端口上示例如下pc IP地址 172.16.2.10/24 mac 地址00e0-fc01-8b0a 属于vlan 2，接到了交换机3526E的e0/16口上，那么首先mac-address static 00e0-fc01-8b0a interface Ethernet0/16 vlan 2然后在e0/16上加一条mac-address max-mac-count 0 (指明该端口最多学习0个mac地址）最后用am命令把IP地址和端口绑定首先 am enable然后在e0/16口下 am ip-pool 172.16.2.10至此，绑定完成。效果就是只有172.16.2.10 并且mac地址是00e0-fc01-8b0a的pc才可以访问e0/16口，而且这台pc插到别的口上也是无法访问网络的该方法的缺点就是：设备必须是三层设备，而且必须有三层接口IP地址才可以实现IP和端口的绑定，而一般客户的这种绑定都是在接入层做的，而接入层一般不会放三层设备这么奢侈的，所有实用性并不是很强方法二：对硬件无特殊要求，只有支持link层acl即可网络环境同上首先定义一aclacl number 10 basic                                                       rule 0 deny                                                                   rule 1 permit source 172.16.2.10 0                                        #                                                                            acl name 210 link                                                       rule 1 permit ingress 00e0-fc01-8b0a 0000-0000-0000 interface Ethernet0/9 egress any rule 0 deny ingress interface Ethernet0/9 egress any然后激活acl#                                                                            packet-filter ip-group bindpcip rule 0 link-group bindpamac rule 0          packet-filter ip-group bindpcip rule 1 link-group bindpamac rule 1 配置完成。该方法优点是对设备要求低，二层设计即可但是缺点是通过acl实现，如果网络比较大的话不太易实现，管理员太费力气而且后期维护也比较麻烦