“交换端口保护”是否应该阻止单播泛洪？

switchport protected在接口上进行配置是否可以防止交换机未获知的MAC地址单播泛洪？

我看到的信息有冲突- 单播泛洪上的Wikipedia页面将保护模式作为阻止泛滥的一种机制，而Cisco的文档说这switchport protected并不重要，并且switchport block unicast仍然需要防止泛滥。

但是，我最近遇到了一个问题，即在运行一些相对古老的12.1（22）代码的2950G上，单播泛洪似乎完全被保护端口破坏了–交换机的老化时间为5分钟，而路由器的ARP超时是30分钟，并且使用此接口的一个TCP连接倾向于一次处于休眠状态10分钟-在这种情况下，如果在10分钟后醒来则无法正常工作。

在主机上运行的捕获按预期没有显示单播泛洪，并且增加交换机上的MAC老化计时器以匹配ARP可以完全解决该问题。

在旧的IOS版本中，此行为是未定义的还是不一致的？或者这仅仅是此旧代码中的错误？

我看到的信息有冲突-单播泛洪上的Wikipedia页面将保护模式作为阻止泛洪的一种机制，而Cisco的文档说，受保护的switchport无关紧要，仍然需要使用switchport阻止单播来防止泛洪。

switchport protected用于在VLAN内强制执行隐私保护。该命令可防止端口与配置了的其他端口通信switchport protected。此命令减少了泛洪，因为在Vlan中的所有端口上都使用泛洪，但它的作用远不止“仅”从交换机端口中消除泛洪。老实说，我认为有更好的方法可以实现您的目标。

switchport protected如果您要汇总同一VLAN中的托管客户，这很有用；此命令是在客户之间提供隐私而又不使私人VLAN复杂化的一种方法。您提到的Wikipedia文章说，您可以从默认网关（不应该在受保护的交换端口上）“反弹”流量，以到达其他目的地。

switchport block unicast确实阻止了未知的单播泛洪；但是，请参阅下文了解为什么我认为您不需要此命令。

但是，我最近遇到了一个问题，即在运行一些相对古老的12.1（22）代码的2950G上，单播泛洪似乎完全被保护端口破坏了–交换机的老化时间为5分钟，而路由器的ARP超时是30分钟，并且使用此接口的一个TCP连接倾向于一次处于休眠状态10分钟-在这种情况下，如果在10分钟后醒来则无法正常工作。

正如我在评论中提到的那样，如果此网络中存在不对称路由路径的可能性，则您可能需要未知的单播洪泛，或者需要匹配CAM和ARP计时器以确保CAM条目在更新之前不会老化。 ARP表项。

在大多数情况下，匹配ARP和CAM计时器是解决这种情况的正确方法，但您可以选择...

编辑以回应评论：

将计时器设置为匹配可以很好地解决问题-我只是不明白为什么洪水没有按预期发生。

引自Karl Solie，Leah Lynch，Charles Ragan的“ CCIE实用研究，第2卷”，第115页：

如果未知的单播和多播流量转发到受保护的端口，则可能存在安全问题。为了防止未知单播或多播流量从一个端口转发到另一个端口，您可以配置端口（受保护或不受保护）以阻止未知单播和多播流量。

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast