通常，您会希望确保在链路两端不受控制的所有端口的 VLAN 成员身份。如果中继端口——或者更确切地说是链路伙伴——可以简单地加入他们想要的任何 VLAN，那么攻击者可以很容易地渗透到每个 VLAN。这称为 VLAN 跳跃。

当链路完全在您的控制范围内时，您可以让中继端口不安全——您的交换机、路由器、主机，并且这些链路在两端都受到物理保护，即。在上锁的壁橱或橱柜中。这可能会简化您的管理，具体取决于您的工作方式。

但是，如果 VLAN 分离是您的安全概念的一部分，那么将其留给“其他人”来选择他们连接到的 VLAN 是完全愚蠢的。

您将允许交换机上未使用的 VLAN 的未知单播、广播和多播帧等内容到达交换机，这将不必要地浪费中继上的带宽，否则交换机上实际使用的 VLAN 可能需要这些带宽。

此外，当交换机上未使用的 VLAN 上出现广播风暴时，您可能会使交换机过载。阻止未使用的 VLAN 可以保持交换机正常工作并隔离广播风暴或 STP 故障。

最佳做法是只允许单个接入交换机上的 VLAN。一个接入交换机上可以有多个 VLAN，但它们不会连接到任何其他接入交换机，并且一个接入交换机只连接到分布交换机，而不连接任何其他接入交换机。您也不允许访问分布交换机上的接口。这将防止网络上的大多数第 2 层问题，并将任何问题隔离到单个接入交换机。

更进一步，您现在可以在分发和访问之间运行第 3 层，以进一步隔离任何第 2 层问题。

Vlan allowed 功能允许我们只允许我们在中继端口上指定的特定 Vlan。

**例如 **

Switch (config)#int f0/1

Switch(config)#switchport mode trunk

Switch(config)Switchport trunk allowed vlan 10,20,30

Switch(config)#no shutdown

允许特定的 Vlan 是一种很好的做法，而不是允许所有的 VLAN，因为网络是精确隔离的。如果连接在 vlan 10 上的设备暴露在 vunarability 中，只有 vlan 10 连接的主机会受到严重威胁。其他 vlan 不会有任何问题，因为已经有隔离