千兆以太網技術作為當前的主流局域網技術��,已經得到廣泛應用�。千兆以太網對QoS的保證來源于兩個方面:一是標準和協議的制定����,如IEEE802.1Q/P�、RSVP等;二是第三層交換技術的應用�。在QoS的實現策略方面,千兆以太網與ATM一樣���,也分為4種���,即業務分類�����、排隊機制、帶寬治理和擁塞控制���。
在LAN交換技術中�,虛擬局域網(VLAN/L3交換)是一種迅速發展的技術���。VLAN/L3交換技術的引入給網絡設計、治理和維護帶來某些根本性的改變����,使得計算機設備的互聯和治理不再受地理環境和位置的制約;使網絡結構變得靈活��、方便����、隨心所欲��。隨著VLAN / L3技術的廣泛應用���,技術人員提出了新的要求: 是否可以基于LAN環境提供某些服務質量(QoS)特性�,以實現對VLAN用戶流量控制方面的治理呢����?
針對不同網絡設備生產廠家的不同產品,具體可以實現的QoS特性會有較大區別�。以3Com公司的企業級千兆交換機Switch4007為例,簡單討論基于該型千兆交換機的QoS特性來增強VLAN安全性的實現方法�。
制定VLAN之間的訪問控制策略
一個典型的校園網環境,一般可以根據不同的業務部門來劃分VLAN���。我們把所有的外來人員����、流動用戶或是學生�����,劃到一個獨立的VLAN9����。出于保護內部網絡安全的考慮,我們要限制VLAN9用戶對校園網內部其他VLAN的訪問�����,同時答應VLAN9用戶向外的合法訪問?;诖耍覀冎贫巳缦逻^濾規則:
● 答應VLAN9用戶訪問DHCP服務器���;
● 答應VLAN9用戶訪問FireWall服務器���;
● 答應VLAN9用戶訪問校園網內部的一些應用服務器���,如VOD視頻點播服務器;
● 不答應VLAN9用戶訪問其他VLAN用戶����;
● 答應VLAN9用戶訪問Internet。
訪問控制策略在3Com 4007上的實現
(1)創建classfier
Classfier用于實現源網絡/源端口到目的網絡/目的端口的流量定義�。在本文中,不答應9網段訪問其他網段����,只能上網�,定義規則如表1所示�。
具體實現步驟可以參考有關技術手冊���。
基本思路是實現VLAN9→VLAN1、VLAN1→VLAN9����、VLAN9→ VLAN2、VLAN2→VLAN9的流量定義��,假如網絡中存在其他VLAN��,可以用相同方法實現����。 完成了對所有VLAN的流量定義后,就定義完了Classfier 9-to-otherlan��,序號為99����。 
在創建classfier的過程中�,序號非常重要,它決定了控制策略執行的順序���。其他Classfier的定義方法可以參見9-to-otherlan的定義步驟�。
(2)創建Control實現對Classfier的控制
創建Control來控制各個Classfier,包括答應����、拒絕、速率等級等�,最重要的是答應/拒絕操作。Control的序列號有順序要求����,先執行低級別的Control。其定義規則如表2所示�。
具體實現步驟可以參考有關技術手冊。
基本思路是首先完成對Control 15到 Internet及Control 14到otherlan的定義����,其他Control的定義方法可以參考上述步驟完成�。
在3Com 4007上完成了設計的過濾規則后,還需要在實際的網絡環境中做必要的測試���,以保證所做的設置是成功的�、有效的��。
