Le informazioni che sto vedendo sono in conflitto: la pagina wikipedia sull'inondazione unicast cita la modalità protetta come un meccanismo per bloccare le inondazioni, mentre la documentazione di Cisco afferma che lo switchport protetto non ha importanza e che il blocco dello switchport unicast sarebbe comunque necessario per prevenire le inondazioni .
switchport protectedviene utilizzato per imporre la privacy all'interno di un vlan ... il comando impedisce alle porte di comunicare con altre porte configurate con switchport protected. Questo comando riduce le inondazioni come effetto collaterale dell'utilizzo su tutte le porte in un Vlan, ma fa molto di più che "semplicemente" rimuovere le inondazioni da uno switchport. Onestamente, penso che ci siano modi migliori per raggiungere i tuoi obiettivi.
switchport protectedè utile se si aggregano i clienti di colocation nella stessa area virtuale; questo comando è un modo per offrire la privacy tra i clienti senza le complicazioni dei van privati. L'articolo di Wikipedia che hai citato, dice che puoi "rimbalzare" il traffico dal gateway predefinito (che non dovrebbe essere su uno switchport protetto) per raggiungere quelle altre destinazioni ...
switchport block unicastblocca inondazioni unicast sconosciute; tuttavia, vedi sotto per il motivo per cui penso che non dovresti aver bisogno di questo comando.
Tuttavia, di recente ho riscontrato un problema in cui su un 2950G con un codice 12.1 (22) relativamente antico, l'inondazione unicast sembrava essere completamente rotta per una porta protetta: il tempo di invecchiamento sullo switch era di 5 minuti, mentre il timeout ARP del router era di 30 minuti e l'unica connessione TCP che utilizzava questa interfaccia aveva la tendenza a rimanere inattiva per 10 minuti alla volta - ed essere non funzionante al risveglio dopo 10 minuti in questo caso.
Come ho detto nel mio commento, se esiste un potenziale per un percorso instradato asimmetrico in questa rete, o hai bisogno di inondazioni unicast sconosciute o devi abbinare i timer CAM e ARP per assicurarti che le voci CAM non scadano prima del Voci ARP.
Nella maggior parte dei casi, abbinare i timer ARP e CAM è il modo giusto per risolvere la situazione , ma la scelta è tua ...
MODIFICA per rispondere ai commenti:
Impostare i timer in modo che corrisponda funziona alla grande come soluzione alternativa - non capisco perché l'inondazione non stia avvenendo come previsto.
Citando da "CCIE Practical Studies, Volume 2", pagina 115 di Karl Solie, Leah Lynch, Charles Ragan:
Se il traffico unicast e multicast sconosciuto viene inoltrato a una porta protetta, potrebbero esserci problemi di sicurezza. Per impedire che il traffico unicast o multicast sconosciuto venga inoltrato da una porta all'altra, è possibile configurare una porta (protetta o non protetta) per bloccare il traffico unicast e multicast sconosciuto.
3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast