Les commutateurs Cisco possèdent une configuration par défaut comprenant des VLAN préconfigurés, afin de prendre en charge plusieurs types de supports et de protocoles. Le VLAN Ethernet par défaut est le VLAN 1. Il est recommandé, pour des raisons de sécurité, de configurer tous les ports de tous les commutateurs de sorte qu'ils soient associés à des VLAN autres que le VLAN 1. Pour cela, il suffit généralement de configurer tous les ports non utilisés dans un VLAN « black hole » ne servant à rien sur le réseau. Tous les ports utilisés sont associés à des VLAN distincts du VLAN 1 et du VLAN black hole. Il est également conseillé de désactiver les ports inutilisés pour empêcher tout accès non autorisé.
Pour des raisons de sécurité, il est recommandé de séparer le trafic de gestion et de données utilisateur. Le VLAN de gestion, qui est le VLAN 1 par défaut, doit être remplacé par un VLAN distinct. Pour communiquer à distance avec un commutateur Cisco à des fins de gestion, le commutateur doit disposer d'une adresse IP configurée sur le VLAN de gestion. Les utilisateurs des autres VLAN ne peuvent pas établir de sessions d'accès à distance au commutateur à moins qu'ils n'aient été acheminés vers le VLAN de gestion, ce qui offre une couche de sécurité supplémentaire. En outre, le commutateur doit être configuré pour accepter uniquement les sessions SSH chiffrées pour la gestion à distance.
Tout le trafic de contrôle est envoyé sur le VLAN 1. Par conséquent, lorsque le VLAN natif prend une valeur autre que le VLAN 1, tout le trafic de contrôle est étiqueté sur les trunks de VLAN IEEE 802.1Q (étiquetées avec l'ID de VLAN 1). Il est recommandé de définir le VLAN natif sur un VLAN autre que le VLAN 1. Le VLAN natif doit également être différent de tous les VLAN utilisateur. Assurez-vous que le VLAN natif pour un trunk 802.1Q est le même aux deux extrémités de la liaison trunk.
Le protocole DTP offre quatre modes de port de commutateur : actif, trunk inconditionnel, dynamique automatique et dynamique souhaitable. En règle générale, il convient de désactiver la négociation automatique. Pour assurer la sécurité des ports, n'utilisez pas les modes de port de commutateur dynamique automatique ou dynamique souhaitable.
Enfin, le trafic voix comporte de strictes exigences QoS. Si les PC des utilisateurs et les téléphones IP sont sur le même VLAN, chacun essaie d'utiliser la bande passante disponible sans tenir compte de l'autre périphérique. Pour éviter ce conflit, il est recommandé d'utiliser des VLAN distincts pour la téléphonie IP et le trafic de données.