千兆以太網技術作為當前的主流局域網技術，已經得到廣泛應用。千兆以太網對QoS的保證來源于兩個方面:一是標準和協議的制定，如IEEE802.1Q/P、RSVP等；二是第三層交換技術的應用。在QoS的實現策略方面，千兆以太網與ATM一樣，也分為4種，即業務分類、排隊機制、帶寬治理和擁塞控制。

在LAN交換技術中，虛擬局域網（VLAN／L3交換）是一種迅速發展的技術。VLAN／L3交換技術的引入給網絡設計、治理和維護帶來某些根本性的改變，使得計算機設備的互聯和治理不再受地理環境和位置的制約；使網絡結構變得靈活、方便、隨心所欲。隨著VLAN / L3技術的廣泛應用，技術人員提出了新的要求: 是否可以基于LAN環境提供某些服務質量（QoS）特性，以實現對VLAN用戶流量控制方面的治理呢？

針對不同網絡設備生產廠家的不同產品，具體可以實現的QoS特性會有較大區別。以3Com公司的企業級千兆交換機Switch4007為例，簡單討論基于該型千兆交換機的QoS特性來增強VLAN安全性的實現方法。

制定VLAN之間的訪問控制策略

一個典型的校園網環境，一般可以根據不同的業務部門來劃分VLAN。我們把所有的外來人員、流動用戶或是學生，劃到一個獨立的VLAN9。出于保護內部網絡安全的考慮，我們要限制VLAN9用戶對校園網內部其他VLAN的訪問，同時答應VLAN9用戶向外的合法訪問。基于此，我們制定了如下過濾規則：

● 答應VLAN9用戶訪問DHCP服務器；

● 答應VLAN9用戶訪問FireWall服務器；

● 答應VLAN9用戶訪問校園網內部的一些應用服務器，如VOD視頻點播服務器；

● 不答應VLAN9用戶訪問其他VLAN用戶；

● 答應VLAN9用戶訪問Internet。

訪問控制策略在3Com 4007上的實現

（1）創建classfier

Classfier用于實現源網絡／源端口到目的網絡／目的端口的流量定義。在本文中，不答應9網段訪問其他網段，只能上網，定義規則如表1所示。

具體實現步驟可以參考有關技術手冊。

基本思路是實現VLAN9→VLAN1、VLAN1→VLAN9、VLAN9→ VLAN2、VLAN2→VLAN9的流量定義，假如網絡中存在其他VLAN，可以用相同方法實現。 完成了對所有VLAN的流量定義后，就定義完了Classfier 9-to-otherlan，序號為99。

在創建classfier的過程中，序號非常重要，它決定了控制策略執行的順序。其他Classfier的定義方法可以參見9-to-otherlan的定義步驟。

（2）創建Control實現對Classfier的控制

創建Control來控制各個Classfier，包括答應、拒絕、速率等級等，最重要的是答應／拒絕操作。Control的序列號有順序要求，先執行低級別的Control。其定義規則如表2所示。

具體實現步驟可以參考有關技術手冊。

基本思路是首先完成對Control 15到 Internet及Control 14到otherlan的定義，其他Control的定義方法可以參考上述步驟完成。

在3Com 4007上完成了設計的過濾規則后，還需要在實際的網絡環境中做必要的測試，以保證所做的設置是成功的、有效的。