無線APの設定でよくある、APと接続しているデバイス同士の通信をできなくする設定、有線でもやりたい。

ということで調べてみると、Catalystでは保護ポートという設定らしい。さっそく対象のインターフェースにswitchport protectedを設定。ついでにポートブロッキングもした方が良さそうなので、switchport block multicastとswitchport block unicastを設定。満足。

後日談

switchport block multicastがIPv6のNeighbor Discoveryを邪魔してしまっていたようで、switchport block multicastを設定したインターフェースに接続した機器では、同セグメントで通信するなどしてMACアドレスをswitchに学習させないとIPv6で外部と疎通できない模様。

やりたかったIPレベルでの分離はswitchport protectedで実現できているので、switchport blockの設定はunicastもmulticastも解除した。

switchport block unicastは残しても問題なさそうだったが、影響を明確に把握できていない状態で有効にしても今回のようなトラブルの原因になるだけなので、もう少し理解を深めて必要だと判断した時に設定することにした。