当然可以。您这个需求非常经典，目的是允许直接连接的设备上网，同时阻止通过下级小交换机（私自扩展网络）接入的设备。
C1200系列是Cisco Business系列的智能交换机，功能足够强大。实现这个需求的核心技术是：端口安全（Port Security）​ 和 动态MAC地址学习限制。
实现原理
交换机通过MAC地址来识别设备。每个端口都有一个MAC地址表。当端口连接一个小交换机时，这个端口会在MAC地址表中学习到多个MAC地址（即连接在小交换机上的所有设备）。
您的需求是：每个端口只允许学习一个MAC地址。
·当电脑直接连接到交换机端口时，该端口只学习到这一个MAC地址，符合规则，正常通信。
·当用户私接一个小交换机，并在这个小交换机上连接多台设备时，该端口会瞬间学习到多个MAC地址，违反了“一个端口一个MAC”的规则。此时，交换机可以采取安全措施（如关闭端口或丢弃数据包），从而使私接的设备无法获取IP或上网。

配置步骤与命令
假设您要限制交换机上所有接入用户端口（例如GigabitEthernet 1/0/1 到 1/0/22）。
第1步：进入配置模式

enable
configure terminal

第2步：配置端口范围（以1-22口为例）

interface range gigabitethernet 1/0/1-22

第3步：关闭端口（重要！防止配置过程中出现环路或冲突）
在配置端口安全前，先关闭端口，确保配置完整后再开启。

shutdown

第4步：将端口模式设置为Access
端口安全通常在Access模式下配置。

switchport mode access

第5步：启用端口安全功能

switchport port-security

第6步：设置端口允许学习的最大MAC地址数量
这是最关键的一步。我们将数量设置为 1。

switchport port-security maximum 1

第7步：设置违规处理模式
当检测到违规（即端口上出现第2个MAC地址）时，交换机该如何处理？推荐使用 restrict模式。
·restrict：（推荐）​ 端口保持UP状态，但会将违规设备的流量丢弃，并生成日志/SNMP陷阱。这样，直接连接的电脑不受影响，但私接的设备无法通信，且网管能收到通知。
·shutdown：端口会被错误禁用（err-disable），直接关闭。这样会影响到直接连接的电脑，需要管理员手动重启端口，比较麻烦。

switchport port-security violation restrict

第8步：重新开启端口

no shutdown

第9步：退出并保存配置

end
write memory

验证配置
配置完成后，您可以使用以下命令检查端口安全的状态：
1.查看所有端口的端口安全摘要：

show port-security

2.查看特定端口的详细安全信息：

show port-security interface gigabitethernet 1/0/1

3.查看违规记录：

show port-security violations

重要注意事项和局限性
1.上行链路/服务器端口不要配置：连接上级路由器、服务器或其他交换机的端口不要启用此功能，否则会导致大量MAC地址被阻塞。
2.无线AP端口需要特殊处理：如果端口连接的是无线AP，由于AP本身会带多个无线客户端，会学习到大量MAC地址。对于这种端口，您需要将 maximum值设大一些（比如50），或者干脆不配置端口安全。
3.电脑更换网卡：如果合法用户更换了电脑网卡（MAC地址改变），新的MAC地址会被学习，旧的会被遗忘，所以不影响使用。这正是“动态学习”的好处，无需绑定MAC。
4.不是绝对安全：有一定技术的用户可以通过克隆合法电脑的MAC地址来绕过此限制，但这对于阻止普通的“私接小交换机”行为已经非常有效。