为什么建议将native vlan配置成交换机尚未使用的vlan？

ccnafasttrack

最好用一张简单的图解释一下求教大神。好像NA只是提过，NP也没有详细讲啊

white-art

因為是安全起見，讓所有流量都有tag，讓沒有tag的流量(非授權的設備) 沒辦法跟有tag的設備交流

Rockyw

white-art 发表于 2016-7-9 20:56
因為是安全起見，讓所有流量都有tag，讓沒有tag的流量(非授權的設備) 沒辦法跟有tag的設備交流

能讲更详细一点吗？

white-art

因為這算是CCNA security的範圍吧 所以NA應該只會提到皮毛

sboku

好多机器在接入SW时是要使用Native VLAN的，所以不使用Native VLAN，在很多情况下是不太现实的。即使你把默认的Native VLAN改为其他VLAN，也意味着使用Native VLAN。所以Cisco的下面这些建议比较现实些。

Disable auto-trunking on user facing ports (DTP off)
Explicitly configure trunking on infrastructure ports
Disable unused ports and put them in an unused VLAN
Always use a dedicated VLAN ID for all trunk ports

还有就是，接入用户的端口，明确使用Access Mode，设置Port Security会更稳妥些。