Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

17-36

思科 ASA 系列命令参考，S 命令

第 17 章 subject-name 至 sysopt radius ignore-secret 命令

switchport protected

对于带有内置交换机的型号（例如

ASA 5505 自适应安全设备），可在接口配置模式下使用

switchport protected

命令来防止一个交换机端口与相同 VLAN 上受保护的其他交换机端口进行

通信。如果

VLAN 上的一个交换机端口的安全性受到影响，可使用此功能来提高其他交换机端口

的安全性。

switchport protected

no switchport protected

语法说明

此命令没有任何参数或关键字。

默认值

默认情况下，接口不受保护。

命令模式

下表展示可输入此命令的模式：

命令历史

使用指南

在以下情况下，您可能想要防止交换机端口相互之间进行通信：主要从其他

VLAN 访问这些交换

机端口上的设备；您不需要允许

VLAN 间访问；由于病毒感染或其他安全漏洞，您想要将设备相

互隔离开。例如，如果一个

DMZ 托管 3 台网络服务器，对每个交换机端口应用 switchport

protected

命令可将这些网络服务器相互隔离开。内部网络和外部网络都可以与这 3 台网络服务器

进行通信，反之亦然，但这些网络服务器相互之间不能进行通信。

此命令不限制与不受保护的端口之间的通信。

示例

以下示例配置

7 个交换机端口。以太网 0/4、0/5 和 0/6 端口被分配给 DMZ 网络，且这些端口相互

受到保护：

ciscoasa(config)# interface ethernet 0/0

ciscoasa(config-if)# switchport access vlan 100

ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# interface ethernet 0/1

ciscoasa(config-if)# switchport access vlan 200

ciscoasa(config-if)# no shutdown

命令模式

防火墙模式

安全情景

路由

透明

单个

多个

情景

系统

接口配置

•

是

•

是

•

是

—

版本

修改

7.2(1)

引入了此命令。