您可以在交换机中的每个端口上使用较低的最大 MAC 数（例如 1 或 2）启用端口安全性。将违规模式设置为关闭（或限制，具体取决于您的目标）。如果您不想在全局范围内执行此操作，如果您只切换提到的 SG300，您应该能够轻松识别有问题的端口。采用

sh mac addr 

并寻找带有多个 MAC 的交换机端口，这不是您的上行链路。

跟踪该 wi-fi 路由器的 MAC 并为您交换机上的每个 VLAN 执行此操作。

Switch(conf)#mac address-table static [mac_address]  vlan [id] drop

执行此类操作的真正方法是使用 802.1X。这将使您能够对连接到交换机接口的所有设备进行身份验证，而且它的粒度非常细。802.1X 的问题在于它需要一个服务器/软件基础设施。

虽然端口安全可用于阻止使用 WAP 或其他网桥（交换机）的某些情况，但使用端口安全可能会被路由器愚弄，因为路由器只会有路由器的 MAC 地址通过交换机接口。如果您有 VoIP 电话，因为它们可以使用两个或三个 MAC 地址，或者如果不同的设备需要在相对较短的时间内连接到同一个交换机接口，端口安全也会出现问题。

虽然其他答案肯定是正确的，但帮助防止未经授权的设备的另一种方法是spanning-tree bpduguard enable在应该转到单个主机的交换机端口上使用。

如果它看到任何生成树 bpdu 数据包进入端口，这将使端口进入 err-disabled 状态。很多wifi路由器都会触发这种情况。通常，我在面向用户的访问端口上配置以下内容：

spanning-tree bpduguard enable
spanning-tree guard root
switchport port-security <max 2> (if using VoIP phones with the desktop patched to the phone)