VLAN（VirtualLocal Area Network）的中文名為"虛擬局域網"。虛擬局域網（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網段中一樣，由此得名虛擬局域網。

與傳統的局域網技術相比較，VLAN技術更加靈活，它具有以下優點：網絡設備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網絡的安全性。

VLAN攻擊手段是基于VLAN技術應用所采取的攻擊方式，面對這些花樣翻新的攻擊手段，如何采取有效的防范措施？

1、802.1Q和ISL標記攻擊：

標記攻擊屬于惡意攻擊，利用它，一個VLAN 上的用戶可以非法訪問另一個 VLAN 。例如，如果將交換機端口配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ，用于接收偽造 DTP(DYNAMICTRUNK PROTCOL) 分組，那么，它將成為干道端口，并有可能接收通往任何 VLAN 的流量。

由此，惡意用戶可以通過受控制的端口與其它 VLAN 通信。

對于這種攻擊，只需將所有不可信端口上的DTP(DYNAMIC TRUNK PROTCOL) 設置為關閉狀態即可。

2、雙封裝802.1Q/嵌套式VLAN攻擊：

在交換機內部， VLAN 數字和標識用特殊擴展格式表示，目的是讓轉發路徑保持端到端 VLAN 獨立，而且不會損失任何信息。在交換機外部，標記規則由 ISL 或 802.1Q 等標準規定。ISL 屬于思科專有技術，是設備中使用的擴展分組報頭的緊湊形式，每個分組總會獲得一個標記，沒有標識丟失風險，因而可以提高安全性。

802.1Q IEEE 委員會決定，為實現向下兼容性，最好支持本征VLAN ，即支持與 802.1Q 鏈路上任何標記顯式不相關的 VLAN 。這種 VLAN 以隱含方式被用于接收802.1Q端口上的所有無標記流量。這項功能是用戶所希望的，因為利用這個功能，802.1Q端口可以通過收發無標記流量直接與老 802.3 端口對話。但是，在所有其他情況下，這種功能可能會非常有害，因為通過 802.1Q 鏈路傳輸時，與本地 VLAN 相關的分組將丟失其標記。

為此就是應選擇未使用的 VLAN 作為所有干道的本地VLAN ，而且不能將該 VLAN 用于任何其它目的。STP、DTP和UDLD等協議應為本地 VLAN 的唯一合法用戶，而且其流量應該與所有數據分組完全隔離開。

3、VLAN跳轉攻擊

VLAN跳轉是一種網絡攻擊方式，指的是終端系統向管理員不允許它訪問的VLAN發送數據包，或者接收這個VLAN的數據包。這種攻擊的實現方法是為攻擊流量打上特定的VLAN ID（VID）標，或者通過協商 Trunk 鏈路來發送和接收所需 VLAN 的流量。攻擊者可以通過使用交換機欺騙或者雙層標簽的方式，來實現VLAN跳轉攻擊。

VLAN跳轉攻擊是指惡意設備試圖訪問與其配置不同的VLAN。

VLAN跳轉攻擊有兩種形式:

一種形式是源于 Catalyst交換機端口的默認配置。CiscoCatalyst交換機的端口上默認啟用自動（Auto）模式的鏈路聚集協議。因此接口在收到DTP幀后就會變為Trunk端口。

第二種形式的 VLAN 跳轉攻擊即使在交換機接口關閉了鏈路聚集特性的情況下也可以實施。在這類攻擊中，攻擊者會發送帶有雙層802.1Q標簽的數據幀。這類攻擊需要客戶端連接在攻擊者所連交換機之外的交換機上。

另一個要求是這兩臺交換機連接的 VLAN，必須與攻擊者所連的交換機端口的 VLAN 相同，或者與交換機和被攻擊VLAN之間的 Trunk 端口上的Native VLAN 相同。

在建立Trunk端口時，為了防御網絡中的VLAN跳轉攻擊，應對所有交換機端口和參數進行配置。

1、把所有未使用的端口設置為Access端口，使這些鏈路無法協商鏈路匯聚協議。

2、把所有未使用的端口設置為關閉（Shutdown）狀態，并把它們放入同一個 VLAN中，這個VLAN專門用于未使用端口，因而并不承載任何用戶數據流量。

總結

以上是生活随笔為你收集整理的添加vlan后无法上网_VLAN攻击如何有效防范？搞定虚拟局域网就在以下三点的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。