知己知彼 用VLAN技术防御黑客攻击

　　在交换机内部， VLAN 数字和标识用特殊扩展格式表示，目的是让转发路径保持端到端 VLAN 独立，而且不会损失任何信息。在交换机外部，标记规则由 ISL 或 802.1Q 等标准规定。

　　ISL 属于思科专有技术，是设备中使用的扩展分组报头的紧凑形式，每个分组总会获得一个标记，没有标识丢失风险，因而可以提高安全性。

　　另一方面，制订了 802.1Q 的 IEEE 委员会决定，为实现向下兼容性，最好支持本征 VLAN ，即支持与 802.1Q 链路上任何标记显式不相关的 VLAN 。这种 VLAN 以隐含方式被用于接收802.1Q端口上的所有无标记流量。

　　这种功能是用户所希望的，因为利用这个功能，802.1Q端口可以通过收发无标记流量直接与老 802.3 端口对话。但是，在所有其他情况下，这种功能可能会非常有害，因为通过 802.1Q 链路传输时，与本地 VLAN 相关的分组将丢失其标记，例如丢失其服务等级( 802.1p 位)。

　　但是基于这些原因——丢失识别途径和丢失分类信息，就应避免使用本征 VLAN ，更不要说还有其它原因，如图1所示。

　　图 1 双封装攻击

　　先剥离，再送回攻击者 802.1q 帧 ，VLAN A、 VLAN B 数据包含本征VLAN A 的干道 VLAN B 数据

　　注意： 只有干道所处的本征 VLAN 与攻击者相同，才会发生作用。

　　当双封装 802.1Q 分组恰巧从 VLAN与干道的本征 VLAN 相同的设备进入网络时，这些分组的 VLAN 标识将无法端到端保留，因为 802.1Q 干道总会对分组进行修改，即剥离掉其外部标记。删除外部标记之后，内部标记将成为分组的惟一 VLAN 标识符。因此，如果用两个不同的标记对分组进行双封装，流量就可以在不同 VLAN 之间跳转。