据我了解，您想阻止交换机端口 20,21 和 23 上的 http/https 流量，以便用户无法访问任何网页 (http/https)，​​对吗？

如果是，您可以尝试使用端口 ACL。您需要一个 ACL 并将其应用于交换机端口 20、21 和 23。

让我假设您的交换机端口 20 的格式是 f0/20，以下配置是交换机端口 20 上的端口 ACL 的示例：

 ip access-list extended block-http-https
    deny   tcp any any eq www
    deny   tcp any any eq 443
    permit ip any any

 interface FastEthernet0/20
   switchport mode access
   ip access-group block-http-https in
 end

我希望它对您有所帮助并回答您的问题。

一个非常常见的安全实践是为不同的目的使用不同的 VLAN。

并且将交换机管理置于与用户相同的 VLAN 上，如果没有任何特殊原因，互联网服务是一种不好的做法。

第 3 层及以上服务的修改通常在网关/路由器上完成，因为交换机不读入帧。因此，您将在网关上应用访问控制列表 ACL。

您可以将“无网络”端口隔离到不同的 VLAN 中，然后限制该 VLAN 的子网。