怎样在2900XL或3500XL交换机中实现端口绑定MAC地址

我有2900XL和3500XL若干，为了管理方便和安全考虑，想实现固定端口只能识别指定的一个或多个MAC地址。作了如下测试，但结果不是我想要的。
举例，我想实现3500A的0/1端口只允许MAC地址为0001.0001.0001的PC接入，使用了
3500A#mac-address-table secure 0001.0001.0001 f0/1 vlan 1
命令。
当我把0001.0001.0001的PC移动3500A的另一个端口时，0001.0001.0001的PC不能进行网络交换，这是我想要到；但我把另外一台PC(MAC地址为0001.0001.0002)接到3500A的0/1端口时，0001.0001.0002的PC也能进行网络交换，这不是我想要得，我希望3500A的0/1端口只允许0001.0001.0001的PC接入。请问应该怎样配置

---

配置port security.
int x/x
port security max-mac-count 1
port security action shutdown

---

试过了，可行。具体如下：

3500A#conf t
3500A<config>#mac-address-table secure 0001.0001.0001 f0/1 vlan1
3500A<config>#int f0/1
3500A<config-if>#port security max-mac-count 1
3500A<config-if>#end
3500A#

建议不要在port security max-mac-count 1后使用 port security shutdown命令。

如果使用port security shutdown命令，当另外一台PC换到f0/1端口时，会引起f0/1自动shut down，即使原PC再接入f0/1端口，也必须管理员手工no shut down，很不方便，而且在PC操作系统中，网络连接的错误显示和物理网线故障的错误显示是一样的，对日常IT工程师的Troubleshooting造成干扰。

如果不使用port security shutdown命令，当另外一台PC换到f0/1端口时，f0/1端口还是UP状态，但PC不能进行网络数据交换，达到限制访问的目的，而且原PC再接入f0/1端口后，网络连接立即生效，很方便。

---

忘了，如果一个端口限制绑定2台PC，命令如下：

3500A#conf t
3500A<config>#mac-address-table secure 0001.0001.0001 f0/1 vlan1
3500A<config>#mac-address-table secure 0002.0002.0002 f0/1 vlan1
3500A<config>#int f0/1
3500A<config-if>#port security max-mac-count 2
3500A<config-if>#end
3500A#

绑定多台PC，以此类推即可。

如果一个端口已经连接5台PC，然后设置绑定count为5，则IOS会自动把这5台PC的MAC地址添加到MAC地址表并写到配置文件中，永久生效

---

int x/x
port security max-mac-count 1
port security aging time 60
这样60分钟后就可以接另一台机器了。

在2900xl下是port security
在2950（需要EI）下是switchport port-security.

2900XL 12.0(5.2)XU支持port security 但不支持port security aging ，就是交换机学到一个mac 后，如不手工清除，cam表是永远绑定，交换机不会自动在一段时间后清除，没有aging概念。2950 12.0 版本也不支持，只有升级。

---