知己知彼 用VLAN技术防御黑客攻击

核心提示：为什么要用VLAN呢?VLAN的实施是从逻辑上对用户进行了划分，使不同VLAN之中的用户无法直接通信，知己知彼 用VLAN技术防御黑客攻击，这种技术方便实施，节约资金，只需将所有不可信端口(不符合信任条件)上的 DTP(DYNAMIC TRUNK PROTCOL) 设置为“关”，即可预防这种攻击

为什么要用VLAN呢?VLAN的实施是从逻辑上对用户进行了划分，使不同VLAN之中的用户无法直接通信。这种技术方便实施，节约资金。然而随着VLAN的应用范围越来越广，而同VLAN相关的安全管理问题也越来越严重。

VLAN技术的应用为网络的安全防范提供了一种基于管理方式上的策略方法，我们可以根据企业网络管理的特点有针对性地选择不同的VLAN划分手段。虽然网络安全在某种程度上得到了一定的保障，但安全往往与危险并存，面对这些花样翻新的攻击手段，如何采取有效的防范措施?在本文中，将针对应用VLAN技术管理的网络，介绍黑客的攻击手段和我们可以采取的防御手段。

一.常见的VLAN攻击

目前常见的VLAN的攻击有以下几种：

1.802.1Q 和 ISL 标记攻击

标记攻击属于恶意攻击，利用它，一个 VLAN 上的用户可以非法访问另一个 VLAN 。例如，如果将交换机端口配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ，用于接收伪造 DTP(DYNAMIC TRUNK PROTCOL) 分组，那么，它将成为干道端口，并有可能接收通往任何 VLAN 的流量。由此，恶意用户可以通过受控制的端口与其它 VLAN 通信。 有时即便只是接收普通分组，交换机端口也可能违背自己的初衷，像全能干道端口那样操作(例如，从本地以外的其它 VLAN 接收分组)，这种现象通常称为“VLAN 渗漏”。

对于这种攻击，只需将所有不可信端口(不符合信任条件)上的 DTP(DYNAMIC TRUNK PROTCOL) 设置为“关”，即可预防这种攻击的侵袭。 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4000 和 Catalyst 6000 系列交换机上运行的软件和硬件还能够在所有端口上实施适当的流量分类和隔离。

2.双封装 802.1Q/ 嵌套式 VLAN 攻击