CCNP学习之路之VLAN Hopping

VLAN的跳跃攻击（VLAN Hopping）：对于网络中有许多的攻击手段，vlan hopping 属于其中的一种，它是根据cisco交换机的动态协商功能，不经过层三设备，跨跃VLAN来进行访问。一般情况下，我们知道不同VLAN 之前互访，必须要通过层三设备，通过使用VLAN HOPPING技术，就可不经过层三设备，就可达到对不同的VLAN进行访问。

对于VLAN HOPPING 就是使用到了所谓二次标签技术，假如一攻击者来自于内网（根据8020原则）。如下图所示：



1、攻击者位于VLAN10 中， ATTACK 在把FRAME经过一次标签，即加入INNER ON VLAN20，到达第一个交换机时，第一个交换机与第二个交换机通过TRUNK 把FRAME发给第二个交换机，同时二次标签为OUTTER ON VLAN10。

2.这样当FRAME到达第二个交换机时，这时交换机要把接收到且经过自己标签的FRAME发给具体的PC，这样，第二个交换机会读取内部标签INNER ON VLAN20，这样，通过HOOPING 技术就会不通过层三设备，而完成对不同的VLAN之间的访问。

3.对于这种类型的攻击，根本原因是由于ATTACK处于的端口的模式为DYNAMIC DESIRABLE。解决方法：可作以下的简单设置：

只需要把那个端口在划分VLAN时把那个端口设置为静态接入端口。

Mitigating VLAN Hopping

switch(config)#interface-range type mod/port-port ///selects a range of interfaces to configure

switch(config-if)#switchport mode access /// configure the ports as access ports and turns off DTP

switch(config-if)#switchport access vlan vlan-id /// statically assigns the ports to specific unused VLAN

本文出自 “平哥_Jason” 博客，请务必保留此出处http://jasonliping.blog.51cto.com/471157/1153039