VLAN是分割网络和隔离子网的一种好方法，但是在设计和实现涉及VLAN的解决方案时，需要考虑安全性问题。VLAN并不是天生不安全的，但是配置错误会使网络容易受到攻击。VLAN的交换机供应商实现中也存在过往的安全问题。

隔离信任区

由于配置错误的可能性，信任级别差异很大的网络应位于单独的物理交换机上。例如，虽然同一交换机在技术上可以与所有内部网络以及防火墙外部网络的VLAN一起使用，但应避免这种情况，因为简单的交换机错误配置可能导致未经过滤的Internet流量进入内部网络。在这种情况下，至少要使用两台交换机：一台用于防火墙外部，另一台用于防火墙内部。在许多环境中，除了WAN和LAN交换机之外，在第三个交换机上还单独处理DMZ网段。在其他情况下，WAN端在其自己的交换机上，而防火墙后面的所有网络都在使用VLAN的同一交换机上。

使用中继端口的默认VLAN

通过本地VLAN上的中继线发送VLAN标记的流量时，交换机可能会剥离与本地VLAN匹配的数据包中的标记，以保持与较早网络的兼容性。更糟糕的是，使用本机VLAN和不同VLAN双重标记的数据包仅在以这种方式中继时才删除本机VLAN标签，并且在以后进行处理时，流量可能最终在其他VLAN上。这也称为“ VLAN跳跃”。

限制对中继端口的访问

由于中继端口可以与一组中继交换机中的任何VLAN(取决于交换机配置，甚至可能在当前交换机上不存在的VLAN)进行通信，因此物理上保护中继端口非常重要。另外，请确保没有配置用于中继的端口，这些端口未拔出并已启用，以防有人意外或以其他方式钩入其中。根据交换机的不同，它可能支持中继的动态协商。确保禁用或适当限制了此功能。

云杰通信与中国移动集团共同推出SD-WAN网络综合解决方案，助力企业信息化建设、数字化转型、以及全球化互联。SD-WAN方案可实现全球访问加速、SaaS访问加速、海外视频加速、海外分支组网，有效提升国际间沟通效率，助力中国企业开拓国际市场。服务热线：13631779516，欢迎来电咨询。