Jika Anda memiliki sakelar yang mendukungnya, 'port terproteksi' untuk koneksi kabel atau 'isolasi klien' untuk titik akses di Wi-Fi dapat membantu Anda menghilangkan lalu lintas antar host di jaringan Layer-2 yang sama.
Misalnya, ini dari manual switch Cisco :
Port yang dilindungi memiliki fitur-fitur ini: Port yang dilindungi tidak meneruskan lalu lintas apa pun (unicast, multicast, atau disiarkan) ke port lain yang juga merupakan port yang dilindungi. Lalu lintas data tidak dapat diteruskan antara port yang dilindungi di Layer 2; hanya kontrol lalu lintas, seperti paket PIM, diteruskan karena paket ini diproses oleh CPU dan diteruskan dalam perangkat lunak. Semua lalu lintas data yang lewat di antara port yang dilindungi harus diteruskan melalui perangkat Layer 3.
Jadi jika Anda tidak bermaksud untuk mentransfer data di antara mereka, Anda tidak perlu mengambil tindakan setelah mereka 'dilindungi'.
Perilaku penerusan antara port yang dilindungi dan port yang tidak dilindungi berjalan seperti biasa.
Klien Anda dapat dilindungi, server DHCP, gateway, dll. Dapat berada di porta yang tidak dilindungi.
Perbarui 27-07-2017
Seperti yang ditunjukkan oleh @sirex, jika Anda memiliki lebih dari satu sakelar yang tidak ditumpuk, artinya sakelar tersebut sebenarnya BUKAN sakelar tunggal, port yang dilindungi tidak akan menghentikan lalu lintas di antara keduanya .
Catatan: Beberapa sakelar (sebagaimana ditentukan dalam Matriks Dukungan Saklar VLAN Catalyst Swasta) saat ini hanya mendukung fitur Tepi PVLAN. Istilah "port yang dilindungi" juga merujuk ke fitur ini. Port Edge PVLAN memiliki batasan yang mencegah komunikasi dengan port lain yang dilindungi pada sakelar yang sama. Port yang dilindungi pada sakelar yang terpisah, bagaimanapun, dapat berkomunikasi satu sama lain.
Jika demikian, Anda perlu porta VLAN Private Terisolasi :
Dalam beberapa situasi, Anda perlu mencegah konektivitas Layer 2 (L2) antara perangkat akhir di sakelar tanpa penempatan perangkat di subnet IP yang berbeda. Pengaturan ini mencegah pemborosan alamat IP. Private VLAN (PVLANs) memungkinkan isolasi pada Layer 2 perangkat dalam subnet IP yang sama. Anda dapat membatasi beberapa port pada sakelar untuk hanya menjangkau port tertentu yang memiliki gateway default, server cadangan, atau Cisco LocalDirector yang terpasang.
Jika PVLAN menjangkau lebih dari beberapa switch, batang VLAN antara switch harus menjadi port VLAN standar .
Anda dapat memperluas PVLAN di seluruh sakelar dengan menggunakan batang. Port trunk membawa lalu lintas dari VLAN biasa dan juga dari VLAN primer, terisolasi, dan komunitas. Cisco merekomendasikan penggunaan port trunk standar jika kedua sakelar yang menjalani trunking mendukung PVLAN.
Jika Anda pengguna Cisco, Anda dapat menggunakan matriks ini untuk melihat apakah sakelar Anda mendukung opsi yang Anda butuhkan.