配置 VLAN（虚拟局域网）是提高网络安全的重要手段，主要通过逻辑隔离不同用户、设备或流量类型来减少攻击面。以下是关键配置步骤及安全建议：

1. 划分 VLAN 的逻辑

• 按部门/功能分组（如财务、研发、访客等），隔离敏感数据。
• 按设备类型分组（如服务器、IoT设备、摄像头），避免设备间横向攻击。
• 专用管理 VLAN：为网络设备（交换机、路由器）创建独立的 VLAN，禁止普通用户访问。

2. VLAN 配置步骤

(1) 创建 VLAN

Switch(config)# vlan 10                # 创建 VLAN 10（例如：财务）
Switch(config-vlan)# name Finance      # 命名便于管理
Switch(config)# vlan 20                # 例如：访客 VLAN
Switch(config-vlan)# name Guest

(2) 分配端口到 VLAN

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode access    # 设置为接入端口
Switch(config-if)# switchport access vlan 10 # 将端口划入 VLAN 10

(3) 配置 Trunk 端口

连接交换机或路由器的端口需配置为 Trunk，仅允许必要 VLAN 通过：

Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20  # 仅允许 VLAN 10 和 20
Switch(config-if)# switchport trunk native vlan 999     # 设置非默认本征 VLAN，防止 VLAN 跳跃攻击

3. 增强 VLAN 安全的关键措施

• 禁用未使用的端口：防止非法设备接入。

  Switch(config)# interface GigabitEthernet0/2
  Switch(config-if)# shutdown

• 启用端口安全（Port Security）：

  Switch(config-if)# switchport port-security
  Switch(config-if)# switchport port-security maximum 1    # 限制 MAC 地址数量
  Switch(config-if)# switchport port-security violation shutdown  # 违规关闭端口

• VLAN 间访问控制：

  • 使用三层交换机或防火墙控制 VLAN 间通信。
  • 通过 ACL（访问控制列表） 限制流量（例如：禁止访客 VLAN 访问管理 VLAN）。

• 防范 VLAN 跳跃攻击：

  • 禁用未使用的 Trunk 端口。
  • 避免使用默认 VLAN 1（因其通常未加密且易受攻击）。

• 启用 DHCP 防护：

  • 配置 DHCP Snooping 防止伪造 DHCP 服务器。
  • 启用 动态 ARP 检测（DAI） 防御 ARP 欺骗。

• 私有 VLAN（PVLAN）：

  • 在同一 VLAN 内进一步隔离设备（如隔离访客网络的设备）。

4. 其他最佳实践

• 定期审计 VLAN 配置：确保无冗余或错误划分。
• 网络监控：使用工具（如 SNMP、NetFlow）监控 VLAN 流量异常。
• 物理安全：限制对交换机的物理访问，防止未经授权的配置更改。
• IP 地址规划：不同 VLAN 使用不同子网，便于路由和策略管理。

示例拓扑

[财务 VLAN 10] --(隔离)--> [核心交换机] --(防火墙)--> [互联网]
      ↑                         ↑
[访客 VLAN 20] -----------(无互访权限)

通过以上配置，可有效隔离网络风险，降低内部攻击和横向渗透的可能性。