知己知彼 用VLAN技术防御黑客攻击

核心提示： Switch(config-if)#switchport mode dynamic desirable这条命令使我们所有的接口都处于了自适应的状态，会根据对方的接口状态来发生自适应的变化，知己知彼 用VLAN技术防御黑客攻击(5)，对方是Access，就设置自己为Access;对方是Tru

Switch(config-if)#switchport mode dynamic desirable

这条命令使我们所有的接口都处于了自适应的状态，会根据对方的接口状态来发生自适应的变化，对方是Access，就设置自己为Access;对方是Trunk，就设置自己为Trunk。除了desirable这个参数以外，还有一个和它功能比较相似的参数：Auto。这两个参数其实都有自适应的功能，稍微的一点不同在于是否是主动的发出DTP(DYNAMIC TRUNK PROTCOL)的包，有就是说是否主动的和对方进行端口状态的协商。Desirable能主动的发送和接收DTP包，去积极和对方进行端口的商讨，不会去考虑对方的接口是否是有效的工作接口，而Auto只能被动的接收DTP包，如果对方不能发送DTP消息，则永远不会完成数据通信。说到这，大家肯定认为Auto这个参数安全系数要比Desirable参数，其实这两个参数的实施所产生的安全隐患是一样的。大家想想，VLAN跳跃攻击往往是对方将自己的接口设为主动自适应状态，那么我们不管用哪个参数，其结果是完全一样的。

这样的两个参数本意是给我们减轻工作负担，加快VLAN的配置而产生的。但随着网络的不断发展，针对这个特性而引发的安全隐患(比如：VLAN的跳跃攻击就是利用了这个特性)，越来越引起我们的关注。

想要解决这个安全隐患，只需进行以下操作。

步骤1：我们首先将交换机上所有接口上，输入这个命令：

Switch(config-if)# switchport mode access

我们将交换机的所有接口都强制设为Access状态，这样做的目的是当攻击者设定自己的接口为Desirable状态时，怎么协商所得到的结果都是Accsee状态。使攻击者没法利用交换机上的空闲端口，伪装成Trunk端口，进行局域网攻击。

再在Trunk接口上输入：

Switch(config-if)# switchport mode trunk