知己知彼 用VLAN技术防御黑客攻击

核心提示： 在802.1Q的干道协议中，每个802.1Q封装的接口都被作为干道使用，知己知彼 用VLAN技术防御黑客攻击(7)，这种接口都有一个Native VLAN并被分配Native VLAN ID(缺省是VLAN 1)，802.1Q不会标记属于Native VLAN的数据帧，但VTP这个协议在应

在802.1Q的干道协议中，每个802.1Q封装的接口都被作为干道使用，这种接口都有一个Native VLAN并被分配Native VLAN ID(缺省是VLAN 1)，802.1Q不会标记属于Native VLAN的数据帧，而所有未被标记VLAN号的数据帧都被视为Native VLAN的数据。那么VLAN 1作为缺省的Native VLAN，在所有的交换机上都是相同。因此由Native VLAN引起的安全问题，在局域网中必须引起我们的重视。这个安全隐患的解决办法就是更改缺省Native VLAN，我们可以用一条命令

Switch(config-if)# switchport trunk native vlan 99

这条命令需要在一个封装了801.1Q的接口下输入，这条命令将缺省的Native VLAN更改为VLAN 99。执行这条命令后，Native VLAN不相同的交换机将无法通讯。增加了交换机在划分VLAN后的安全性。

三.VTP协议的安全性

VTP(VLAN Trunking Protocol)是一个用于传播和同步关于整个交换网络的VLAN信息的协议，工作在OSI参考模型的第二层。VTP使我们在扩展交换网络规模时减少人工配置的工作量，并通过统一地管理交换网络中VLAN的增加、删除和名称变更，以维持整个网络VLAN配置的一致性，最大限度地减少可能带来问题的错配和配置不一致情况(如VLAN名称重复使用或错误的VLAN类型说明)。

一个VTP域由一个或多个共享相同VTP环境的互连交换机组成，一个交换机只能配置到一个VTP域中。缺省地，Catalyst交换机置于无管理域的状态(不属于任何VTP域)，直到它通过干道链路收到关于某个VTP域的通告或人工将其配置到某VTP域中。对单个VTP服务器的VLAN配置，会通过干道链路传播给所有连接到该VTP域的交换机。VTP信息只在干道链路上传送出去。

我们在实际的工作中，往往需要一次性的配置多台Cisco的交换机，这时VTP协议给我们很大的帮助，使我们迅速的完成VLAN的部署。但VTP这个协议在应用过程中和DTP协议具有相同的问题。在前文中提到过在VLAN中有一种VTP攻击就是利用VTP的缺点实施攻击的。在解释如何防范VTP攻击前，我们有必要简单的回顾一下VTP的原理