如果您没有使用任何可以支持策略之类的网络管理系统或使用带有 NAC 的 802.1x，我认为您将只能使用端口安全性并通过源 MAC 锁定它。

所以基本上你想要做的是，告诉交换机在端口 X 上，只有 MAC 源为 X 的设备才被允许使用该端口。

为属于指定 VLAN 的端口配置单个授权源 MAC 地址。

port-security slot/port mac mac_address [vlan vlan_i]

您可能想查看当端口检测到未经授权的 MAC 地址时采取的操作，以便您可以告诉交换机禁用该端口或仅发出警报，以便它可以发送 SNMP 陷阱。

请注意，这并不是 100% 安全的，因为任何具有技术知识的用户都可以将他们的 MAC 地址更改为指定的地址，并且仍然可以访问。

或者，如果您为接入点使用特定的 VLAN，您还可以做什么，为此 VLAN 禁用任何形式的 DHCP，并将 IP 地址静态分配给您的接入点。如果用户确实尝试访问该特定端口，而没有 DHCP，他们将被卡住。当然，除非他们足够聪明，知道要为自己分配什么 IP 范围，包括网关等。

希望这对您的追求有所帮助。

瞌睡虫

另一种选择是确保它只插入一个特定端口，当它看到来自连接主机的 BPDU 时，使端口丢弃。您将在所有不应连接接入点的端口上启用此功能。

在 cisco 术语中，调用此功能，bpduguard当看到 bpdu 时，端口将进入 err-disabled 状态。您可以将其设置为端口将在指定时间后自动重新启用，如果设备不再连接，则端口将再次运行。 errdisable recovery interval <seconds>

至于阿尔卡特，我对它们不太熟悉，但快速搜索会发现以下类似代码：

qos no user-port filter user-port shutdown bpdu
policy port group UserPorts 1/10-24
qos apply

您不会在接入点插入的端口上设置它。

我不确定你为什么要这样做，但你可以尝试在 mac-address 表中添加一个静态条目：mac-address-table [permanent] mac_address {slot/port | linkagg link_agg} vid [桥接 | 过滤]

接入点是隧道模式还是直接连接将流量注入vlan？

您可以禁用除一个端口以外的所有端口上的 lanpower：

lanpower start 1
lanpower stop 1/1
lanpower stop 1/2
...

或者您可以尝试使用 radius 服务器进行基于 802.1x/mac 的身份验证，但它有点复杂。它被阿尔卡特朗讯称为“Access Guardian”