配置三個或更多的交換機(jī)支持一個虛擬局域網(wǎng)和一個網(wǎng)絡(luò)的分區(qū)是非常簡單的和直截了當(dāng)?shù)倪^程。然而，確保一個虛擬專用網(wǎng)經(jīng)得起攻擊則完全是另外一回事！為了保證一個虛擬局域網(wǎng)的安全，你需要了解要保護(hù)它避免受到什么的攻擊。下面是幾種常見的攻擊虛擬局域網(wǎng)的手段、你同這些攻擊手段作斗爭的方法以及在某種情況減小攻擊損失的方法。

虛擬局域網(wǎng)跳躍攻擊

虛擬局域網(wǎng)跳躍攻擊（hopping attack）的基本方式是以動態(tài)中繼協(xié)議為基礎(chǔ)的，在某種情況下還以中繼封裝協(xié)議（trunking encapsulation protocol或802.1q）為基礎(chǔ)。動態(tài)中繼協(xié)議用于協(xié)商兩臺交換機(jī)或者設(shè)備之間的鏈路上的中繼以及需要使用的中繼封裝的類型。

中繼協(xié)商功能可以在交換機(jī)接口打開，可在接口級上輸入如下指令：Switch(config-if)#switchport mode dynamic。

雖然這個設(shè)置能夠讓配置交換機(jī)的過程更方便，但是，它在你的虛擬局域網(wǎng)中隱藏了一個嚴(yán)重的隱患。一個站點(diǎn)能夠很容易證明它自己在使用802.1q封裝的交換機(jī)，從而創(chuàng)建了一個中繼鏈接，并成為所有虛擬局域網(wǎng)中的一個成員。

幸虧思科最新的IOS操作系統(tǒng)修復(fù)了這個安全漏洞。要避免可能出現(xiàn)的虛擬局域網(wǎng)跳躍攻擊，請不要在接口級使用“動態(tài)”模式，并且把網(wǎng)絡(luò)配置為“中繼”或者“接入”類型。

地址解析協(xié)議攻擊

地址解析協(xié)議攻擊在黑客領(lǐng)域是很常見的。現(xiàn)有的工具可以繞過交換機(jī)的安全功能。交換機(jī)能夠在兩個節(jié)點(diǎn)之間創(chuàng)建一個虛擬通信頻道，并且禁止其他人“偷聽”他們的談話。

在地址解析攻擊中，入侵者獲得了IP地址以及有關(guān)他想攻擊的網(wǎng)絡(luò)的其它統(tǒng)計(jì)數(shù)據(jù)，然后利用這些信息實(shí)施攻擊。入侵者向這個網(wǎng)絡(luò)交換機(jī)發(fā)送大量的地址解析廣播，告訴這個交換機(jī)所有的IP地址或者一部分IP地址是屬于這個交換機(jī)的，從而在入侵者對數(shù)據(jù)進(jìn)行偵察時，迫使交換機(jī)把所有的數(shù)據(jù)包和談話數(shù)據(jù)都發(fā)送給他。

你可以在高端Catalyst交換機(jī)上使用“端口安全”指令避開這個問題，這些交換機(jī)的型號包括4000、4500、5000和6500系列交換機(jī)。

一旦在端口打開了“端口安全”功能，你就可以指定MAC地址的數(shù)量，或者指定允許的MAC地址通過這個端口進(jìn)行連接。

打開這個安全功能的指令是：Switch(config)#set port security port enable

對重要的路由器和服務(wù)器等主機(jī)應(yīng)該使用靜態(tài)地址解析協(xié)議。

最后，入侵檢測系統(tǒng)能夠跟蹤和報告導(dǎo)致這種攻擊的地址解析協(xié)議廣播。

虛擬局域網(wǎng)中繼協(xié)議攻擊

虛擬局域網(wǎng)中繼協(xié)議(VTP)是思科專有的協(xié)議，旨在通過自動向整個網(wǎng)絡(luò)的交換機(jī)傳播虛擬局域網(wǎng)信息使生活更加方便。

虛擬局域網(wǎng)中繼協(xié)議的設(shè)置包括負(fù)責(zé)傳播所有的虛擬局域網(wǎng)信息的一臺VTP服務(wù)器和一臺交換機(jī)。除了這個VTP服務(wù)器交換機(jī)之外，所有的交換機(jī)都要設(shè)置為客戶端交換機(jī)，負(fù)責(zé)收聽VTP服務(wù)器發(fā)出的有關(guān)虛擬局域網(wǎng)變化的任何聲明。

VTP攻擊包括一個站點(diǎn)向網(wǎng)絡(luò)發(fā)送VTP信息，廣播在網(wǎng)絡(luò)上沒有虛擬局域網(wǎng)。因此，所有的客戶端VTP交換機(jī)都刪除了他們合法的虛擬局域網(wǎng)的信息庫。

如果一臺交換機(jī)接入一個網(wǎng)絡(luò)，這個網(wǎng)絡(luò)配置為VTP服務(wù)器而且包含的VTP配置版本高于現(xiàn)有的VTP服務(wù)器，就可能發(fā)生這種攻擊。在這種情況下，所有的交換機(jī)都會用“新的”VTP服務(wù)器獲得的信息覆蓋他們合法的信息。

幸運(yùn)的是有很多方法可以保護(hù)虛擬局域網(wǎng)避免出現(xiàn)這種情況。你可以關(guān)閉VTP（五臺以上交換機(jī)的大型網(wǎng)絡(luò)不建議使用），或者對所有的VTP信息使用MD5驗(yàn)證，保證客戶端交換機(jī)不處理VTP信息，如果信息中包含的口令不正確的話。

為你的VTP域名設(shè)置VTP口令的指令是：

Switch#vlan database

Switch(vlan)# vtp domain  password 

Switch(vlan)#apply

Switch(vlan)#exit

【編輯推薦】

1. 部署虛擬局域網(wǎng)做好VLAN交換機(jī)的選購
2. Fluke Networks：虛擬局域網(wǎng)（VLAN）的管理