跳躍攻擊

目前常見的VLAN的攻擊有以下幾種：

1.802.1Q和ISL標記攻擊

標記攻擊屬於惡意攻擊，利用它，一個VLAN上的用戶可以非法訪問另一個VLAN。例如，如果將交換機連線埠配置成DTP(DYNAMICTRUNKPROTCOL)auto，用於接收偽造DTP(DYNAMICTRUNKPROTCOL)分組，那么，它將成為幹道連線埠，並有可能接收通往任何VLAN的流量。由此，惡意用戶可以通過受控制的連線埠與其它VLAN通信。有時即便只是接收普通分組，交換機連線埠也可能違背自己的初衷，像全能幹道連線埠那樣操作(例如，從本地以外的其它VLAN接收分組)，這種現象通常稱為“VLAN滲漏”。

對於這種攻擊，只需將所有不可信連線埠(不符合信任條件)上的DTP(DYNAMICTRUNKPROTCOL)設定為“關”，即可預防這種攻擊的侵襲。CiscoCatalyst2950、Catalyst3550、Catalyst4000和Catalyst6000系列交換機上運行的軟體和硬體還能夠在所有連線埠上實施適當的流量分類和隔離。

2.雙封裝802.1Q/嵌套式VLAN攻擊

在交換機內部，VLAN數字和標識用特殊擴展格式表示，目的是讓轉發路徑保持端到端VLAN獨立，而且不會損失任何信息。在交換機外部，標記規則由ISL或802.1Q等標準規定。

ISL屬於思科專有技術，是設備中使用的擴展分組報頭的緊湊形式，每個分組總會獲得一個標記，沒有標識丟失風險，因而可以提高安全性。

另一方面，制訂了802.1Q的IEEE委員會決定，為實現向下兼容性，最好支持本徵VLAN，即支持與802.1Q鏈路上任何標記顯式不相關的VLAN。這種VLAN以隱含方式被用於接收802.1Q連線埠上的所有無標記流量。

這種功能是用戶所希望的，因為利用這個功能，802.1Q連線埠可以通過收發無標記流量直接與老802.3連線埠對話。但是，在所有其他情況下，這種功能可能會非常有害，因為通過802.1Q鏈路傳輸時，與本地VLAN相關的分組將丟失其標記，例如丟失其服務等級(802.1p位)。

但是基於這些原因——丟失識別途徑和丟失分類信息，就應避免使用本徵VLAN，更不要說還有其它原因。

先剝離，再送回攻擊者802.1q幀，VLANA、VLANB數據包含本徵VLANA的幹道VLANB數據