====== Securing VLAN Trunks ======
===== Switch Spoofing =====
  * Jsou-li porty v defaultním nastavení (DTP auto), útočník může se switchem vyjednat trunk a tím má přístup do všech VLAN.
{{:wiki:site:cisco:17-2.png}}

Doporučuje se všechny end-user porty nastavit natvrdo jako access:
  * Switch(config)# **interface** //type mod/num//
  * Switch(config-if)# **switchport access vlan** //vlan-id//
  * Switch(config-if)# **switchport mode access**
Nevyužité porty => shutdown

===== VLAN Hopping =====
Útočník může pomocí dvojitě tagovaného rámce poslat tento rámec mimo svou VLAN bez použití routeru.

Podmínky útoku:
  * Útočník je připojen k access portu
  * Na switchi je alespoň jeden 802.1Q trunk
  * Útočníkův port je ve VLANě, která se trunkem přenáší jako nativní
{{:wiki:site:cisco:17-3.png}}

Prevence:
  * Nastavit na trunku nevyužitou (falešnou) VLAN jako nativní
  * Tuto nativní VLAN na trunku zakázat
<code>
Switch(config)# vlan 800
Switch(config-vlan)# name bogus_native
Switch(config-vlan)# exit
Switch(config)# interface gigabitethernet 1/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport trunk native vlan 800
Switch(config-if)# switchport trunk allowed vlan remove 800
Switch(config-if)# switchport mode trunk
</code>
CDP, PAgP, DTP - i přes to, že je nativní VLAN zakázána, tyto protokoly fungují dále
  * Další variantou je tagovat i nativní VLAN:
<code>Switch(config)# vlan dot1q tag native</code>