防微杜漸：使用Protected Port隔離網路主機

區域網路的運作架構下，交換器扮演著相當重要的一個角色，除了可以順利的連接多台主機，進行資料的傳送外，網路管理人員也常會針對常見的一些網路威脅，在交換器上進行一些安全管控，例如：Port-Security、BPDU Guard、Dynamic ARP Inspection…等。

其中一種安全管控機制，是使用隔離的技巧，避免當某台主機發生問題時，擴散到整個網路，影響到網路裡的其他主機。另外管理人員架設伺服器後，管理機制上會設定由伺服器提供服務，不太希望使用者的主機可以直接互連，這時候交換器上Protected Port的設定就能發揮很大的用途了。以下為測試的簡單架構：

以下為左邊主機的網路組態設定：

從左邊的主機進行網路連結測試時，一開始所有主機皆可互通：

接下來在交換器上，針對連接一般終端主機的介面(Fa0/23、Fa0/24)進行Protected Port的設定，連接伺服器或路由器的介面則不需要設定：

使用指令進行檢查，Fa0/23和Fa0/24都已經設定好Protected Port：

再次使用左邊的主機進行網路連結測試時，會發現終端主機之間已經無法互通，不過和其他伺服器或路由器的互通是沒有問題的：

設定完成後，一般主機已經無法直接互連，安全控管較為嚴格，若某台主機發生問題時，也比較不會影響到同一台交換器上的其他主機。