在某些特殊需求下,需要禁止同台交换机上相同VLAN的主机之间通信,但又不能将这些不能通信的主机划到不同VLAN,因为还需要和VLAN中的其它主机通信,只是不能和部分主机通信。要限制交换机上相同VLAN的主机通信,通过将交换机上的接口配置成Protected Port来实现,如果交换机上某个VLAN有三个接口,其中有两个是Protected Port,有一个是正常端口,那么两个 Protected Port之间是不能通信的,但是Protected Port与正常端口之间的流量还是保持正常,而不受任何限制。


Protected Port可以拒绝unicast,broadcast以及multicast在这些端口之间通信,也就是说Protected Port与Protected Port之间没有任何流量发送。Protected Port只在单台交换机上有效,也就是说只有单台交换机上的Protected Port与Protected Port之间是不能通信的,但是不同交换机的Protected Port与Protected Port之间通信还是保持正常。


配置Protected Port时,可以在物理接口和EtherChannel上配置,如果是配在EtherChannel上,那么配置将对EtherChannel中的所有物理接口生效。


配置:

sw1(config)#int f0/1

sw1(config-if)#switchport protected

这样就配置了一个protected端口。