知己知彼 用VLAN技术防御黑客攻击

核心提示： 这条命令的功能，就是强制使端口的状态成为Trunk，知己知彼 用VLAN技术防御黑客攻击(6)，不会去考虑对方接口状态，也就是说不管对方的接口是什么状态，交换机的所有以太网接口都属于VLAN 1，而且我们在配置二层交换机上配置IP地址时，我的接口都是Trunk，大家注意：这条命令仅仅在Tr

这条命令的功能，就是强制使端口的状态成为Trunk。不会去考虑对方接口状态，也就是说不管对方的接口是什么状态，我的接口都是Trunk。大家注意：这条命令仅仅在Trunk的真实接口上输入，这样使我们的接口在状态上是唯一的，可控性明显的增强了。

其次我们可以在Trunk的接口上再输入下面这条命令：

Switch(config-if)#switchport trunk allowed vlan 10,20,30

这条命令定义了在这个Trunk的接口只允许VLAN10,20,30的数据从此通过.如果还有其他VLAN存在，他们的数据将不能通过这个Trunk接口通过。这样允许那些VLAN通过，那些不能通过，就很容易实施。我们就通过这种简单控制数据的流向而达到安全的目的。

在完成了上述提升我们的VLAN安全三条命令后，我们的这些接口已经具备了较高的安全性。但读者肯定还有个疑问，那就是使用了这些命令后，DTP这些协议是否还在工作?回答是肯定的，DTP协议依旧在工作。

所以我们最后还有一条强烈建议大家在配制VLAN时，必加的命令：

Switch(config-if)#switchport nonegotiate

大家一看到这条命令，就知道它的功能了。Nonegotiate的意思就是不协商。所以上面这条命令就是帮助我们彻底的将发送和接收DTP包的功能完全关闭。在关闭的DTP协议后，该接口的状态将永远稳定成Trunk，使接口的状态达到了最大的稳定性，最大化避免了攻击者的各种试探努力。

另外,在802.1Q的Trunk中还有一个相关的安全问题,那就是Native VLAN。众所周知，在Cisco的Catalyst系列的交换机中，有几个缺省的VLAN。对于以太网用户而言，我们需要了解其中最重要的一个，那就是VLAN 1。缺省情况下，交换机的所有以太网接口都属于VLAN 1。而且我们在配置二层交换机上配置IP地址时，也是在VLAN 1这个接口下完成的。