switchport protected / switchport block



 ◆ 保護ポートとは

 保護ポート(switchport protected)は、
他の保護ポートにいかなるトラフィックも転送しないポート
 のことです。保護ポート以外の通常のポートには通常通りトラフィック転送を行います。保護ポートの
 機能により、同一 VLAN 内の通信をポートで制限することができます。転送されないトラフィックには
 
ユニキャスト、マルチキャスト、ブロードキャストが含まれますが、PIMパケットなどは、CPUで処理
 されてソフトウェアで転送されるため、このような制御トラフィックだけは転送されることになります。


    


 保護ポートは、プライベートVLANでいう「隔離ポート」に相当しますが、プライベートVLANのように
 プライマリVLANやセカンダリVLANの定義は必要なく、非常にシンプルな設計と設定だけ実装できます。


 ◆ 保護ポートの有効化
 (config)# interface interface-id
 (config-if)#
switchport protected


 ◆ 設定例 : Gi0/1とG0/2ポートを保護ポートにする設定(上図の構成)


 Catalyst(config) #
interface range gigabitethernet 0/1 - 2
 Catalyst(config-if) #
switchport protected



 ◆ ポートブロッキングとは

 Catalystスイッチのデフォルトでは、ポートから未知のマルチキャストとユニキャストトラフィックの
 フラッディングがブロックされずに、すべてのポートにこのようなパケットがフラッディングされます。
 このような宛先不明なMACアドレスが、例えば保護ポートに転送されるとセキュリティ上の問題が発生
 する可能性があります。ポートブロッキングにより、そのような不明なトラフィックをブロックできます。

 
◆ ポートからの未知のマルチキャストの転送をブロック
 (config)# interface interface-id
 (config-if)#
switchport block multicast

 ◆ ポートからの未知のユニキャストの転送をブロック
 (config)# interface interface-id
 (config-if)#
switchport block unicast

 ◆ 設定例 : G0/1上の「不明なユニキャスト」と「不明なL2マルチキャスト」フラッディングをブロック


 Catalyst(config) #
interface gigabitethernet 0/1
 Catalyst(config-if) # switchport block multicast
 Catalyst(config-if) #
switchport block unicast




L2コントロール( UDLD、Flex Link、ストーム制御、保護ポート、ポートブロッキング )

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.