vlan hopping工作原理及解决方法

　VLAN跳跃攻击充分利用了DTP，在VLAN跳跃攻击中，黑客可以欺骗计算机，冒充成另一个二层思科交换机发送虚假的DTP协商消息，宣布他想成为中继; 真实的交换机收到这个DTP消息后，以为它应当启用802.1Q中继功能，而一旦中继功能被启用，通过所有VLAN的信息流就会发送到黑客的计算机上。

　　　　中继建立起来后，黑客可以继续探测信息流，也可以通过给帧添加802.1Q信息，指定想把攻击流量发送给哪个VLAN。

对于这种类型的攻击，根本原因是由于ATTACK处于的端口的模式为DYNAMIC DESIRABLE。解决方法：可作以下的简单设置：

只需要把那个端口在划分VLAN时把那个端口设置为静态接入端口。

Mitigating VLAN Hopping

switch(config)#interface-range type mod/port-port ///selects a range of interfaces to configure                  

switch(config-if)#switchport mode access      /// configure the ports as access ports and turns off DTP

switch(config-if)#switchport access vlan vlan-id   /// statically assigns the ports to specific unused VLAN