组播暴力攻击的实现依赖于交换机在非常短的时间内轮番接收到一连串的组播帧，这将导致这些帧会泄漏到其它VLAN中，而不是保留于原有的VLAN中。这可能也会引发拒绝服务现象。

    一台高品质的交换机可以保证帧不会从原本的VLAN中泄漏到其它VLAN里，从而防止这类攻击的发生。

    PVLAN攻击（专用VLAN攻击）

    PVLAN是第二层的功能，用于第二层的通信隔离。当一台三层设备--例如路由器--连接到某个专用VLAN中，那么该路由器所接收到的所有流量有可能会向任何一处不可知的目的地传输。在某些情况下这种特性会成为攻击者实现个人目的的有效手段。

    通过配置VLAN的访问列表可以预防上述情况的发生。

    这类攻击通常发生在动态VLAN访问端口。VMPS（VLAN管理策略服务器）使用VQP（VLAN查询）协议。VMPS有一个缺陷，它并不使用基于MAC地址的指定Vlans身份认证，而且UDP让它在被攻击中更加脆弱。

    通常DoS攻击都发生在未经验证的VLAN中。

    VLAN跨越攻击

    VLAN跨越指的是数据包被传送到不正确的端口上。基本上VLAN跨越攻击有如下两个类型。

    ◆交换机欺骗

    ◆双标签

    交换机欺骗：攻击者试图通过配置802.1Q或者ISL把自己伪装成一个交换机，通过DTP（动态中继协议）信号可以帮助攻击者完成欺骗。

    双标签是包括2个802.1Q头的传输帧标签，一个头用于（受害者）用户的交换机，另一个用于攻击者的交换机。防止VLAN跨越攻击的最简单的方法就是在所有来历不明的端口上禁止DTP协议。

    举例：

    IEEE802.1Q有助于在大型网络之外创建小规模网络。大型网络速度慢而且非常消耗带宽，然而小型网络却更利于管理，占用的带宽也少。所以，相比大而复杂的网络来说，有时候我们更需要一个小型网络，因此在IEEE802的基础上研发了IEEE802.1Q。

    我们必须在启用了Trunk（端口汇聚）功能下使用IEEE802.1Q，假设主干中启用了IEEE802.1Q，那么就可以执行一个特殊的攻击。这个攻击被称作双封装攻击，它在原始帧中增加了两个标签，在IEEE802.1Q中，对帧的修改基本上要通过消除外部标签完成，然而剩下的原始内部标签就成为了攻击的目标。

   （TIPs：当双封装 802.1Q 分组从 VLAN 恰巧与干线的本地 VLAN 相同的设备进入网络时，这些分组的 VLAN 标识将无法端到端保留，因为 802.1Q 干线总会对分组进行修改，即剥离掉其外部标记。删除外部标记之后，内部标记将成为分组的惟一 VLAN 标识符。因此，如果用两个不同的标记对分组进行双封装，流量就可以在不同 VLAN 之间跳转。

    这种情况将被视为误配置，因为 802.1Q 标准并不逼迫用户在这些情况下使用本地 VLAN 。事实上，应一贯使用的适当配置是从所有 802.1Q 干线清除本地 VLAN （将其设置为 802.1q-all-tagged 模式能够达到完全相同的效果）。在无法清除本地 VLAN 时， 应选择未使用的 VLAN 作为所有干线的本地 VLAN ，而且不能将该 VLAN 用于任何其它目的 。 STP 、 DTP 和 UDLD 等协议应为本地 VLAN 的唯一合法用户，而且其流量应该与所有数据分组完全隔离开。）

    为了防止802.1Q中的双封装，本地VLAN应该不被放配到任何端口。我们必须使主干中的流量都携带着标签，而为了实现这一点，我们可以使用命令"Switch(config)# vlan dot1q tag native"。它是一个标记本地VLAN的全局命令。

    随机帧重压攻击的表现形式有很多，但通常只存在于几个领域中。在这种暴力攻击下，会让源地址和目标地址保持不变。当遇到异常的输入和计算时，它们主要是对交换机进行测试。

    这种攻击是可以预防的，可以让专用VLAN隔离第二层的主机，免受恶意流量的侵害。（Tips：使用时，可以建立互信任主机组，将第二层网络分成多个子域，只让友好设备相互交流。）

    我希望以上内容能够帮助大家了解VLAN的一些攻击方式，并能够让概念简单化。另外，想要对VLAN进行攻击并不容易的，但是请大家不要忘记更改设备的默认设置。最后为各位管理员总结以下几点：

    ◆以安全的方式管理交换机

    ◆本地VLAN ID 不应用于中继。使用专用LVAN ID作为中继端口。

    ◆所有用户端口设置为非中继

    ◆多做一些交换机端口安全配置，但需要小心。

    ◆避免使用VLAN 1

    ◆为用户端口尽可能设置安全功能

    ◆为了缓解STP攻击启用BPDU保护

    ◆使用专用VLAN并且进一步划分L2网络

    ◆如果使用VTP，请用MD5验证。

    ◆禁用未使用的端口