Table of Contents

Securing VLAN Trunks

Switch Spoofing

Doporučuje se všechny end-user porty nastavit natvrdo jako access:

Nevyužité porty ⇒ shutdown

VLAN Hopping

Útočník může pomocí dvojitě tagovaného rámce poslat tento rámec mimo svou VLAN bez použití routeru.

Podmínky útoku:

Prevence:

Switch(config)# vlan 800
Switch(config-vlan)# name bogus_native
Switch(config-vlan)# exit
Switch(config)# interface gigabitethernet 1/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport trunk native vlan 800
Switch(config-if)# switchport trunk allowed vlan remove 800
Switch(config-if)# switchport mode trunk

CDP, PAgP, DTP - i přes to, že je nativní VLAN zakázána, tyto protokoly fungují dále

Switch(config)# vlan dot1q tag native