Niektóre wdrożenia wymagają tego, aby ruch w warstwie 2 nie mógł odbywać się pomiędzy portami przełącznika, tak aby jedno urządzenie nie widziało ruchu generowanego przez inne. W takich środowiskach użycie opcji konfiguracyjnej prywatnych sieci VLAN (PVLAN), znanej również jako tryb chroniony, zapewnia, że nie ma wymiany żadnego rodzaju ruchu, komunikacji jednostkowej, rozgłoszeniowej czy grupowej, między tak skonfigurowanymi portami na przełączniku (Rysunek 1).
Opcja brzegu typu PVLAN posiada następujące cechy:
- Chroniony port nie przekazuje żadnego rodzaju komunikacji (jednostkowej, grupowej czy rozgłoszeniowej), za wyjątkiem ruchu kontrolnego, do innego portu, który skonfigurowany jest jako chroniony. Ruch z danymi nie może być przekazywany pomiędzy portami skonfigurowanymi w warstwie 2 jako porty chronione.
- Pomiędzy portem chronionym i nie chronionym przekazywanie ruchu działa jak zwykle.
- Porty chronione muszą być skonfigurowane ręcznie.
W celu skonfigurowania opcji koniec typu PVLAN należy wydać komendę switchport protected w trybie konfiguracji interfejsu (Rysunek 2). W celu wyłączenia ochrony portu należy wydać komendę no switchport protected w trybie konfiguracji interfejsu. W celu zweryfikowania opcji brzegu typu PVLAN należy wykonać komendę show interfaces id-interfejsu switchport w trybie globalnej konfiguracji.
Użyj weryfikatora składni z rysunku 3 w celu skonfigurowania opcji brzeg typu PVLAN na porcie G0/1, a następnie sprawdź konfigurację.