保护端口和端口安全在园区网内用的还是比较广泛的，现就详细介绍一些这两种技术，供大家参考参考。（具体的配置和特性以锐捷网络的设备为例，与CISCO有一些小的不同，但总体意思都是一样）

保护端口：
有些应用环境下，要求一台交换机上的有些端口之间不能互相通讯。在这种环境下，这些端口之间的通讯，不管是单址帧，还是广播帧，以及多播帧，都只有通过三层设备进行通讯。
当您 将某些端口设为保护口之后，保护口之间互相无法通讯，保护口与非保护口之间可以正常通讯。

步骤1
configure terminal       进入全局配置模式。

步骤2
interface interface-id   指明一个接口，并进入接口 配置模式。

步骤3
switchport protected   将该接口设置为保护口

步骤4
end     退回到特权模式。

步骤5
show interfaces switchport     验证配置

步骤6
copy running-config startup-config      保存配置。
端口安全：

利用端口安全这个特性，你可以通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入。当你为安全端口(打开了端口安全功能的端口)配置了一些安全地址后，则除了源地址为这些安全地址的包外，这个端口将不转发其它任何报文。此外，你还可以限制一个端口上能包含的安全地址最大个数，如果你将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个口的工作站(其地址为配置的安全MAC地址)将独享该端口的全部带宽。

为了增强安全性，你可以将地址和地址绑定起来作为安全地址。当然你也可以只指定地MACIPMAC址而不绑定地址。IP如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。当安全违例将产生时，你可以选择多种方式来处理违例，比如丢弃接收到的报文，发送违例通知或关闭相应端口等。

当你设置了安全端口上安全地址的最大个数后，你可以使用下面几种方式加满端口上的安全地址：
你可以使用接口配置模式下的命令switchport port-security mac-address mac-address来手工配置端口的所有安全地址。

你也可以让该端口自动学习地址，这些自动学习到的地址将变成该端口上的安全地址，直到达到最大个数。需要注意的是，自动学习的安全地址均不会绑定IP地址，IP如果在一个端口上，你已经配置了绑定地址的安全地址，则将不能再通过自动学习来增加安全地址。你也可以手工配置一部分安全地址，剩下的部分让交换机自己学习。

当违例产生时，你可以设置下面几种针对违例的处理模式：
protect：当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个) 的包
restrict：当违例产生时，将发送一个通知Trap
shutdown：当违例产生时，将关闭端口并发送一个通知。

步骤1
configure terminal       进入全局配置模式。

步骤2
interface interface-id    进入接口配置模式。

步骤3
switchport mode access    设置接口为access模式(如果确定接口已经处于access模式，则此步骤可以省略)

步骤4
switchport port-security     打开该接口的端口安全功能

步骤5
switchport port-security maximum value     设置接口上安全地址的最大个数，范围是1－128，缺省值为128。(此处好像和CISCO有些不同)

步骤6
switchport port-security violation{protect | restrict | shutdown}
设置处理违例的方式：
protect：保护端口，当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
restrict：当违例产生时，将发送一个通知Trap
shutdown：当违例产生时，将关闭端口并发送一个通知。当端口因为违例而Trap被关闭后，你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。

步骤7
end      回到特权模式。

步骤8
show port-security interface    验证你的配置。

步骤9
copy running-config startup-config     保存配置可选。()

在端口安全里，还可以绑定IP或MAC或一起绑定，还可以设置安全地址的老化时间等。具体还有很多的应用，可以参考相关的操作手册。

注意：保护端口只对同一VLAN内的端口有效,对不同VLAN的端口无效,因为一般不同VLAN访问都做了路由.而相同VLAN内的保护端口是不能访问的了.