Przełączniki Cisco mają domyślną konfigurację, w której domyślne sieci VLAN są skonfigurowane aby obsłużyć różnego rodzaju media i różne typy protokołów. Domyślną siecią VLAN jest VLAN 1. Najlepszą praktyką z zakresu bezpieczeństwa jest skonfigurowanie wszystkich portów wszystkich przełączników, aby były przypisane do innej sieci VLAN niż VLAN 1. To jest zwykle robione poprzez przypisanie wszystkich nieużywanych portów do sieci VLAN, zwanej czarną dziurą, która nie jest używana przez żadne urządzenie w sieci. Wszystkie używane porty są przypisane zatem do sieci VLAN innej niż VLAN 1 oraz innej niż sieć VLAN typu czarna dziura. Jest również dobrą praktyką wyłączyć nieużywane porty przełącznika w celu zapobieżenia nieautoryzowanemu dostępowi do sieci.
Dobrą praktyka jest oddzielenie ruchu zarządzającego od ruchu danych użytkowników. Sieć VLAN przeznaczona do zarządzania, którą jest domyślnie VLAN 1, powinna być zmieniona do innej, oddzielnej sieci VLAN. W celu zdalnej komunikacji z przełącznikiem Cisco dla celów administracyjnych, przełącznik musi mieć adres IP znajdujący się w sieci VLAN przeznaczonej do zarządzania. Użytkownicy znajdujący się w innych sieciach VLAN nie będą mogli nawiązać połączenia do przełącznika dopóty, dopóki nie będę obsłużeni przez router, co dodaje kolejny poziom zabezpieczenia. Przełącznik powinien być również skonfigurowany tak, aby dla połączeń zdalnych dopuszczał tylko szyfrowane sesje SSH.
Cały ruch kontrolny wysyłany jest do sieci VLAN 1. Dlatego, jeśli VLAN natywny zostanie zmieniony na inny niż VLAN 1, cały ruch kontrolny będzie znakowany na połączeniach trunk 802.1Q (znakowany identyfikatorem VLAN ID 1). Rekomendowaną praktyką bezpieczeństwa jest zmiana natywnej sieci VLAN z VLAN 1 na inną. VLAN natywny powinien być różny od sieci VLAN wszystkich użytkowników. Należy upewnić się, że VLAN natywny jest taki sam na obu końcach połączenia trunk 802.1Q.
Protokół DTP oferuje cztery tryby stanu portu: dostępowy, trunk, dynamic auto i dynamic desirable. Generalną wskazówka jest wyłączenie autonegocjacji. Najlepszą praktyką bezpieczeństwa w odniesieniu do portów przełączników jest, aby nie stosować trybów dynamic auto czy dynamic desirable.
I na końcu, ruch głosowy ma wysokie wymagania QoS. Jeśli komputer PC użytkownika i telefon IP są w tej samej sieci VLAN, każde usiłuje wykorzystać dostępną przepustowość, nie zważając na drugie urządzenie. Aby uniknąć tego konfliktu, dobrą praktyka jest rozdzielenie sieci VLAN dla ruchu telefonu IP i danych.