在二层/三层以太网接口配置模式下,通过命令switchport protected配置端口保护或端口隔离功能。
配置指导
1、 当需要设备上端口之间隔离时,可以将端口设置保护口。当端口设为保护口之后,保护口之间互相无法通讯,保护口与非保护口之间可以正常通讯。
2、 仅以太网接口和聚合接口支持配置保护口。当一个聚合接口被设置为保护口时,该聚合接口所有成员口都被设置为保护口。
3、 尽管两个保护口之间无法通讯,但是将保护口A的流量镜像到保护口B时,保护口A发送或接收的帧依然能够镜像到保护口B上。
4、 缺省情况下,该配置仅仅阻断的是二层通讯,三层路由依然可以通。如果需要阻断三层,可以再配置全局命令protected-ports route-deny,通过设置保护口之间不能进行路由的功能来实现保护口之间的路由阻断功能。
配置举例
# 配置二层以太网接口GigabitEthernet 0/1为保护口。
Hostname> enable
Hostname# configure terminal
Hostname(config)# interface gigabitethernet 0/1
Hostname(config-if-GigabitEthernet 0/1)# switchport protected