Информация, которую я вижу, конфликтует - страница в Википедии о одноадресной рассылке цитирует защищенный режим как механизм для блокировки наводнения, в то время как в документации Cisco говорится, что защищенный порт коммутатора не имеет значения, и что одноадресная передача блока коммутатора все еще необходима для предотвращения наводнения ,
switchport protectedиспользуется для обеспечения конфиденциальности в vlan ... команда запрещает портам общаться с другими портами, настроенными с switchport protected. Эта команда уменьшает переполнение как побочный эффект использования его на всех портах в Vlan, но она делает гораздо больше, чем просто удаляет переполнение из порта коммутатора. Честно говоря, я думаю, что есть лучшие способы для достижения ваших целей.
switchport protectedполезно, если вы собираете клиентов в одном VLAN; эта команда является одним из способов обеспечить конфиденциальность между клиентами без каких-либо сложностей в частных сетях. В статье в Википедии, о которой вы упоминали, говорится, что вы можете «отбрасывать» трафик от шлюза по умолчанию (который не должен находиться на защищенном порту коммутации) для достижения этих других пунктов назначения ...
switchport block unicastостанавливает неизвестное одноадресное наводнение; однако, смотрите ниже, почему я думаю, что вам не нужна эта команда.
Однако недавно я столкнулся с проблемой, когда на 2950G, работающем с некоторым относительно древним кодом 12.1 (22), одноадресное наводнение казалось полностью прерванным для защищенного порта - время старения на коммутаторе составляло 5 минут, а время ожидания ARP маршрутизатора было 30 минут, и одно TCP-соединение, использующее этот интерфейс, имело тенденцию бездействовать по 10 минут за раз - и в этом случае не работать после 10 минут пробуждения.
Как я уже упоминал в своем комментарии, если в этой сети есть какой-либо потенциал для асимметричного маршрутизируемого пути, вам необходимо либо неизвестное одноадресное наводнение, либо вы должны сопоставить таймеры CAM и ARP, чтобы обеспечить отсутствие устаревания записей CAM до ARP записи.
В большинстве случаев соответствие таймеров ARP и CAM является правильным способом исправить ситуацию , но выбор остается за вами ...
РЕДАКТИРОВАТЬ, чтобы ответить на комментарии:
Настройка таймеров для работы отлично работает в качестве обходного пути - я просто не понимаю, почему наводнение не происходит, как ожидалось.
Цитата из «Практических исследований CCIE, том 2», стр. 115 Карла Соли, Лии Линч, Чарльза Рагана:
Если неизвестный одноадресный и многоадресный трафик направляется на защищенный порт, могут возникнуть проблемы с безопасностью. Чтобы предотвратить переадресацию неизвестного одноадресного или многоадресного трафика с одного порта на другой, можно настроить порт (защищенный или незащищенный) для блокировки неизвестного одноадресного и многоадресного трафика.
3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast