Якщо у вас є комутатор, який його підтримує, "захищені порти" для кабельних з'єднань або "клієнтська ізоляція" для точок доступу в Wi-Fi можуть допомогти вам усунути трафік між хостами в одній мережі Layer-2.
Наприклад, це посібник з комутаторів Cisco :
Захищені порти мають такі функції: захищений порт не пересилає жодного трафіку (одноадресна передача, багатоадресна передача чи трансляція) на будь-який інший порт, який також є захищеним портом. Трафік даних не може передаватися між захищеними портами на рівні 2; передається лише керуючий трафік, наприклад PIM-пакети, тому що ці пакети обробляються процесором і передаються програмно. Весь трафік даних, що проходить між захищеними портами, повинен передаватися через пристрій рівня 3.
Тож якщо ви не збираєтесь передавати дані між ними, вам не потрібно вживати заходів, як тільки вони будуть "захищені".
Поведінка переадресації між захищеним портом і незахищеним портом проходить як завжди.
Ваші клієнти можуть бути захищені, DHCP-сервер, шлюз тощо можуть бути незахищеними портами.
Оновлення 27-07-2017
Як зазначав @sirex, якщо у вас є більше одного перемикача, який не є складеним, це означає, що вони практично НЕ єдиний комутатор, захищені порти не зупинять трафік між ними .
Примітка. Деякі комутатори (як зазначено в матриці підтримки приватного VLAN-каталізатора) підтримують лише функцію PVLAN Edge. Термін "захищені порти" також відноситься до цієї особливості. Порти PVLAN Edge мають обмеження, яке перешкоджає спілкуванню з іншими захищеними портами на тому ж комутаторі. Однак захищені порти на окремих комутаторах можуть спілкуватися один з одним.
У такому випадку вам знадобляться Ізольовані приватні порти VLAN :
У деяких ситуаціях потрібно запобігти підключенню рівня 2 (L2) між кінцевими пристроями на комутаторі без розміщення пристроїв у різних підмережах IP. Ця настройка запобігає марно витраченню IP-адрес. Приватні VLAN (PVLAN) дозволяють ізолювати на другому рівні пристроїв у тій самій підмережі IP. Ви можете обмежити деякі порти на комутаторі, щоб дістатись лише до певних портів, у яких доданий шлюз за замовчуванням, сервер резервного копіювання або доданий Cisco LocalDirector.
Якщо PVLAN охоплює декілька комутаторів, магістралі VLAN між комутаторами повинні бути стандартними портами VLAN .
Ви можете розширити PVLAN через комутатори за допомогою магістралей. Магістральні порти здійснюють трафік від звичайних VLAN, а також від первинних, ізольованих та спільних VLAN. Cisco рекомендує використовувати стандартні порти магістралі, якщо обидва комутатори, які проходять транкінг, підтримують PVLAN.
Якщо ви користувач Cisco, ви можете використовувати цю матрицю, щоб дізнатися, чи підтримують ваші комутатори потрібні варіанти.