Если юзера будут видеть сервера, то и наоборот тоже должно работать.

ЗЫ А ты транковые группы совсем не планировал или просто тут писать не стал?

to scum
Разъясни ко мне пошагово как должна выглядеть атака и за счет чего она будет успешной.

1.In a default configuration it is possible to inject 802.1q frames into non-trunk ports on a switch and have these frames delivered to the destination.
2.It is possible to get 802.1q frames to hop from one VLAN to another if the frames are injected into a switch port belonging to the native VLAN of the trunk port. It is also necessary for the source and destination ethernet devices to be on different switches.

В конце концов можно использовать ISL ввиду гомогенности. (Одни Cisco Catalist)
Я не понял, что ты собственно предлагаешь? Отказаться от идеи VLANs?

to koras
Поподробнее пожалуйста!
Конечно будут транки.

P.S1 На счет того, что все сервера не видят ничего, я конечно погорячился. Есть сервера, обслуживающие конкретные группы, я их растолкаю по соответствующим VLANам, чтобы от остальных отгородить.

P.S2 Будет использоваться статическое соответствие между портом коммутатора и номером VLANа. Динамический признак принадлежности порта к определенному VLANу типа MAC, DNS , NDS и т.д. в силу понятных обстоятельств использоваться не будет.
Кстати что скажите на счет VTP? Нужен ли он? Нагрузку на транках распределять наверное не стоит- сеть не большая.