在局域網里有時會出現其他非法DHCP，在日常的網絡維護過程中給網絡管理員們帶來很多的煩惱，解決辦法除了dhcp snooping的方法外，我們還可以直接把mac地址給禁掉，這個絕對夠狠，但絕對的好使!如何在cisco交換機上禁止某個特定MAC地址轉發，視具體情況來選擇具體處理方法，仁者見仁。

　　以一個例子說明:

　　機器A的MAC地址是00-01-02-03-04-05，該機器接在交換機B的F0/3端口上，F0/3端口處于VLAN3，現在在B上封禁A的轉發，可以根據不同的交換機作以下設置:

　　CatOS(v5.5及以上)：

　　set cam permanent 00-01-02-03-04-050/43

　　clear cam 00-01-02-03-04-05

　　IOS：

　　6500/4500/4000/3750/3560/3550：

　　mac address-table static 0001.0203.0405 vlan 3 drop

　　3500XL/2900XL：

　　mac address-table secure 0001.0203.0405 fastethernet 0/4 vlan 3

　　2950(WS-C2950)：

　　mac address-table static 0001.0203.0405 vlan 3 interface fastethernet0/4

　　除此之外，還可以把機器A的MAC地址綁到非機器A的直聯端口上達到這個目的，方法如下：

　　1、show mac-address-table,找到MAC所在的端口及所在VLAN，如查到FA0/3 ，VALN為1，MAC為0001.0203.00XX

　　2、> enable

　　#configure terminal

　　(config)# mac address-table static 0001.0203.00XX vlan 1 interface fastEthernet 0/4

　　---將VALN1中的0001.0203.00XX 強行綁到fastEthernet 0/4 上，這樣fastEthernet 0/3上就不能跑 0001.0203.00XX 地址了!

　　(config)#exit

　　成了!這樣就在cisco交換機上禁止了某個特定MAC地址的轉發。