知己知彼 用VLAN技术防御黑客攻击

选择未使用的 VLAN 作为所有干道的本地 VLAN ，而且不能将该 VLAN 用于任何其它目的 。 STP、DTP(DYNAMIC TRUNK PROTCOL)和UDLD等协议应为本地 VLAN 的唯一合法用户，而且其流量应该与所有数据分组完全隔离开。

　　3.VLAN跳跃攻击

　　虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN还经常用于为网络提供额外的安全，因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。不过VLAN本身不足以保护环境的安全，恶意黑客通过VLAN跳跃攻击，即使未经授权，也可以从一个VLAN跳到另一个VLAN。

　　VLAN跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP(DYNAMIC TRUNK PROTCOL))。如果有两个相互连接的交换机，DTP(DYNAMIC TRUNK PROTCOL)就能够对两者进行协商，确定它们要不要成为802.1Q中继，洽商过程是通过检查端口的配置状态来完成的。

　　VLAN跳跃攻击充分利用了DTP(DYNAMIC TRUNK PROTCOL)，在VLAN跳跃攻击中，黑客可以欺骗计算机，冒充成另一个交换机发送虚假的DTP(DYNAMIC TRUNK PROTCOL)协商消息，宣布它想成为中继; 真实的交换机收到这个DTP(DYNAMIC TRUNK PROTCOL)消息后，以为它应当启用802.1Q中继功能，而一旦中继功能被启用，通过所有VLAN的信息流就会发送到黑客的计算机上。

　　中继建立起来后，黑客可以继续探测信息流，也可以通过给帧添加802.1Q信息，指定想把攻击流量发送给哪个VLAN。

　　4.VTP攻击

　　VLAN中继协议(VTP,VLAN Trunk Protocol)是一种管理协议，它可以减少交换环境中的配置数量。就VTP而言，交换机可以是VTP服务器、VTP客户端或者VTP透明交换机，这里着重讨论VTP服务器和VTP客户端。用户每次对工作于VTP服务器模式下的交换机进行配置改动时，无论是添加、修改还是移除VLAN，VTP配置版本号都会增加1，VTP客户端看到配置版本号大于目前的版本号后，就自动与VTP服务器进行同步。

　　恶意黑客可以让VTP为己所用，移除网络上的所有VLAN(除了默认的VLAN外)，这样他就可以进入其他每个用户所在的同一个VLAN上。不过，用户可能仍在不同的网段，所以恶意黑客就需要改动他的IP地址，才能进入他想要攻击的主机所在的同一个网段。

　　恶意黑客只要连接到交换机，并在自己的计算机和交换机之间建立一条中继，就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器，这会导致所有交换机都与恶意黑客的计算机进行同步，从而把所有非默认的VLAN从VLAN数据库中移除出去。

　　交换机的端口有两种工作状态：一是Access状态，也就是我们用户主机接入时所需要的端口状态;二是Trunk状态，主要用于跨交换的相同VLAN_id之间的VLAN通讯。、

　　Access状态一般被我们称之为正常状态，是主机的正常接入接口，这种接口的状态能引起安全的问题很小，我们不在这里详细的描述了。

　　干道技术(Trunking)是通过两个设备之间点对点的连接来承载多个VLAN数据的一种方法。以下两种方法可以实现以太网干道连接ISL(交换机间链路，Cisco私有协议) 802.1Q(IEEE组织制度，国际标准)。

　　前文提到的802.1Q 和 ISL 标记攻击，就是利用的Trunk的原理来实现的。那么我们在进行Trunk的操作中，怎样做才能更有效的避免这个安全隐患呢?

　　我们已经知道，在实施Trunk时，我们可以不进行任何的命令操作，也可以完成在跨交换的相同VLAN-ID之间的通讯。这是因为我们有DTP(DYNAMIC TRUNK PROTCOL)。我