Інформація про те, що я бачу конфлікти - сторінка Вікіпедії про одноактивне затоплення зазначає захищений режим як механізм блокування затоплення, тоді як у документації компанії Cisco сказано, що захищений комутатор не має значення, і що блок комутаційного перемикання все одно потрібен для запобігання затоплення. .
switchport protected
використовується для забезпечення конфіденційності в vlan ... команда не дозволяє портам спілкуватися з іншими портами, налаштованими з switchport protected
. Ця команда зменшує затоплення як побічний ефект від використання його на всіх портах Vlan, але це набагато більше, ніж "просто" видалення затоплення з комутаційного порта. Чесно кажучи, я думаю, що є кращі способи досягнення ваших цілей.
switchport protected
є корисним, якщо ви збираєте клієнтів з колонізацією в одній вланці; ця команда є одним із способів запропонувати конфіденційність між клієнтами без ускладнень приватних вланів. Згадана вами стаття у Вікіпедії говорить про те, що ви можете "відскочити" від трафіку за замовчуванням (який не повинен бути на захищеному комутаційному порталі), щоб дістатися до інших регіонів призначення ...
switchport block unicast
припиняє невідоме одноразове затоплення; однак, дивіться нижче, чому я думаю, вам не знадобиться ця команда.
Однак я нещодавно зіткнувся з проблемою, коли на 2950G, який працює з відносно давнім кодом 12.1 (22), одноразове затоплення, здавалося, було повністю порушено для захищеного порту - час витримки на комутаторі становило 5 хвилин, тоді як час очікування ARP маршрутизатора було 30 хвилин, і одне TCP-з'єднання, що використовувало цей інтерфейс, мало тенденцію сидіти в спокої протягом 10 хвилин - і бути нефункціональним при пробудженні через 10 хвилин у цьому випадку.
Як я вже згадував у своєму коментарі, якщо в цій мережі є потенціал для асиметричного маршрутизованого шляху, вам потрібно або невідоме однотонне затоплення, або вам потрібно відповідати таймерам CAM і ARP, щоб гарантувати, що записи CAM не старіють до початку ARP записи.
У більшості випадків відповідність таймерів ARP та CAM - це правильний спосіб виправити ситуацію , але вибір за вами ...
EDIT, щоб відповісти на коментарі:
Налаштування таймерів відповідає чудовому вирішенню - я просто не розумію, чому затоплення відбувається не так, як очікувалося.
Цитуючи "Практичні дослідження CCIE, том 2", стор. 115 Карл Солі, Лія Лінч, Чарльз Раган:
Якщо невідомий одноадресний і багатоадресний трафік буде перенаправлений до захищеного порту, можуть виникнути проблеми з безпекою. Щоб запобігти передачі невідомого одноадресного або багатоадресної передачі з одного порту на інший, ви можете налаштувати порт (захищений або незахищений) для блокування невідомого одноадресного і багатоадресної передачі.
3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast