配置三個或更多的交換機支持一個虛擬局域網(wǎng)和一個網(wǎng)絡的分區(qū)是非常簡單的和直截了當?shù)倪^程。然而，確保一個虛擬專用網(wǎng)經(jīng)得起攻擊則完全是另外一回事！為了保證一個虛擬局域網(wǎng)的安全，你需要了解要保護它避免受到什么的攻擊。下面是幾種常見的攻擊虛擬局域網(wǎng)的手段、你同這些攻擊手段作斗爭的方法以及在某種情況減小攻擊損失的方法。

虛擬局域網(wǎng)跳躍攻擊

虛擬局域網(wǎng)跳躍攻擊（hopping attack）的基本方式是以動態(tài)中繼協(xié)議為基礎的，在某種情況下還以中繼封裝協(xié)議（trunking encapsulation protocol或802.1q）為基礎。動態(tài)中繼協(xié)議用于協(xié)商兩臺交換機或者設備之間的鏈路上的中繼以及需要使用的中繼封裝的類型。

中繼協(xié)商功能可以在交換機接口打開，可在接口級上輸入如下指令：Switch(config-if)#switchport mode dynamic。

雖然這個設置能夠讓配置交換機的過程更方便，但是，它在你的虛擬局域網(wǎng)中隱藏了一個嚴重的隱患。一個站點能夠很容易證明它自己在使用802.1q封裝的交換機，從而創(chuàng)建了一個中繼鏈接，并成為所有虛擬局域網(wǎng)中的一個成員。

幸虧思科最新的IOS操作系統(tǒng)修復了這個安全漏洞。要避免可能出現(xiàn)的虛擬局域網(wǎng)跳躍攻擊，請不要在接口級使用“動態(tài)”模式，并且把網(wǎng)絡配置為“中繼”或者“接入”類型。

地址解析協(xié)議攻擊

地址解析協(xié)議攻擊在黑客領域是很常見的�，F(xiàn)有的工具可以繞過交換機的安全功能。交換機能夠在兩個節(jié)點之間創(chuàng)建一個虛擬通信頻道，并且禁止其他人“偷聽”他們的談話。

在地址解析攻擊中，入侵者獲得了IP地址以及有關他想攻擊的網(wǎng)絡的其它統(tǒng)計數(shù)據(jù)，然后利用這些信息實施攻擊。入侵者向這個網(wǎng)絡交換機發(fā)送大量的地址解析廣播，告訴這個交換機所有的IP地址或者一部分IP地址是屬于這個交換機的，從而在入侵者對數(shù)據(jù)進行偵察時，迫使交換機把所有的數(shù)據(jù)包和談話數(shù)據(jù)都發(fā)送給他。

你可以在高端Catalyst交換機上使用“端口安全”指令避開這個問題，這些交換機的型號包括4000、4500、5000和6500系列交換機。

一旦在端口打開了“端口安全”功能，你就可以指定MAC地址的數(shù)量，或者指定允許的MAC地址通過這個端口進行連接。

打開這個安全功能的指令是：Switch(config)#set port security port enable

對重要的路由器和服務器等主機應該使用靜態(tài)地址解析協(xié)議。

最后，入侵檢測系統(tǒng)能夠跟蹤和報告導致這種攻擊的地址解析協(xié)議廣播。

虛擬局域網(wǎng)中繼協(xié)議攻擊

虛擬局域網(wǎng)中繼協(xié)議(VTP)是思科專有的協(xié)議，旨在通過自動向整個網(wǎng)絡的交換機傳播虛擬局域網(wǎng)信息使生活更加方便。

虛擬局域網(wǎng)中繼協(xié)議的設置包括負責傳播所有的虛擬局域網(wǎng)信息的一臺VTP服務器和一臺交換機。除了這個VTP服務器交換機之外，所有的交換機都要設置為客戶端交換機，負責收聽VTP服務器發(fā)出的有關虛擬局域網(wǎng)變化的任何聲明。

VTP攻擊包括一個站點向網(wǎng)絡發(fā)送VTP信息，廣播在網(wǎng)絡上沒有虛擬局域網(wǎng)。因此，所有的客戶端VTP交換機都刪除了他們合法的虛擬局域網(wǎng)的信息庫。

如果一臺交換機接入一個網(wǎng)絡，這個網(wǎng)絡配置為VTP服務器而且包含的VTP配置版本高于現(xiàn)有的VTP服務器，就可能發(fā)生這種攻擊。在這種情況下，所有的交換機都會用“新的”VTP服務器獲得的信息覆蓋他們合法的信息。

幸運的是有很多方法可以保護虛擬局域網(wǎng)避免出現(xiàn)這種情況。你可以關閉VTP（五臺以上交換機的大型網(wǎng)絡不建議使用），或者對所有的VTP信息使用MD5驗證，保證客戶端交換機不處理VTP信息，如果信息中包含的口令不正確的話。

為你的VTP域名設置VTP口令的指令是：