我的公司希望防止流氓 PC连接到我们的网络，因为我们的服务器机房是在我们和我们的一个站点中的客户之间共享的。网络访问只允许我们公司的用户，特别是公司提供的个人电脑。

802.1x不是一个选项，因为我们无法在该站点中实施 Radius 服务器。港口安全也不是一种选择，因为我们的用户不得不不时在不同的办公室之间移动。

我建议在我们的接入交换机上实施 MAC ACL，因为我们知道我们的网络允许我们的 PC MAC 地址。

问题是我已经在我连接的交换机上测试了这个 MAC 地址 ACL，只允许我的 PC 和 IP 电话在那个端口上。

当我将另一台笔记本电脑（被认为是流氓 PC）连接到同一个端口时，它能够从我们的 DHCP 服务器获取 IP，我们也希望防止这种情况发生。

我的配置是：

STA6-2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
STA6-2(config)#mac access-list extended TEST
STA6-2(config-ext-macl)#permit host a048.1c8f.22df any
STA6-2(config-ext-macl)#permit host 2C3E.CF7B.A2B9 any
STA6-2(config-ext-macl)#exit
STA6-2(config)#exit

STA6-2(config)#interface fa
STA6-2(config)#interface fastEthernet 0/19
STA6-2(config-if)#ma
STA6-2(config-if)#mac
STA6-2(config-if)#mac acc
STA6-2(config-if)#mac access-group TEST in

STA6-2#show access-lists
Extended MAC access list TEST
    permit host a048.1c8f.22df any (2 matches)
    permit host 2c3e.cf7b.a2b9 any

请给我您的反馈，以及如何实施适当的 MAC ACL 以仅允许特定的 MAC 地址与我们网络上的任何资源进行任何通信。