Cisco Catalyst 交换机带有出厂配置,其中预配置了多个默认 VLAN,以支持多种媒体类型和协议类型。 默认的以太网 VLAN 为 VLAN 1。 一种安全最佳做法是,将所有交换机上的所有端口与除 VLAN 1 以外的 VLAN 关联。 通常的做法是,将所有未使用的端口配置到网络中没有任何用途的黑洞 VLAN。 所有已使用的端口与除 VLAN 1 和黑洞 VLAN 以外的 VLAN 关联。 另外一种比较好的做法是,关闭未使用的交换机端口以防未经授权的访问。

比较好的安全做法是分离管理和用户数据流量。 管理 VLAN(默认为 VLAN 1)应更改为单独的不同的 VLAN。 要通过远程通信管理思科交换机,交换机必须在管理 VLAN 上配置 IP 地址。 其他 VLAN 中的用户不能与交换机建立远程访问会话,除非是路由到管理 VLAN,这样可以提供额外的安全防护。 此外,应配置交换机仅接受加密 SSH 会话来进行远程管理。

所有控制流量在 VLAN 1 上发送。 因此,当本征 VLAN 更改为除 VLAN 1 以外的 VLAN 时,所有控制流量在 IEEE 802.1Q VLAN TRUNK 上标记(标记为 VLAN ID 1)。 推荐的安全做法是将本征 VLAN 更改为除 VLAN 1 以外的 VLAN。 而且,本征 VLAN 应与任何用户 VLAN 都不相同。 确保在 802.1Q TRUNK 链路两端的本征 VLAN 相同。

DTP 提供四种交换机端口模式:access、trunk、dynamic auto 和 dynamic desirable。 通常方法是禁用自动协商。 作为端口安全最佳做法,请勿使用 dynamic auto 或 dynamic desirable 交换机端口模式。

最后,语音流量有严格的 QoS 要求。 如果用户 PC 和 IP 电话在同一个 VLAN 中,每个设备都尝试使用可用带宽,而不考虑其他设备。 为了避免这种冲突,比较好的做法是为 IP 电话和数据流量使用单独的 VLAN。