VLAN (2)

若一个帧没有tag 802.1q，并且它已经到达了trunk 端口，那么switch怎么判断这个帧属于哪个VLAN呢?

1. VLAN native

switch会认为这个帧来自VLAN native (默认为VLAN 1), 所以另一个switch的VLAN native 的其他端口会接收这个帧。

2.双重Tag攻击

攻击原理：

攻击者发送含有双重tag的帧，其中第一个tag标记为VLAN native(默认为VLAN 1), 第二个tag标记为受害者的VLAN id, 当帧在trunk中传输时，攻击者方的switch只会查看第一个tag。由于802.1q标准，switch的trunk口会把标记为VLAN native的tag 也就是第一个tag去掉，然后受害者方的switch接收到该帧时，会查看第二个tag的信息也就是受害者方的VLAN id, 删去第二个tag并转发该帧到此VLAN从而达到攻击目的。

防范措施：

a.更改802.1q trunk中的VLAN native号，并且该VLAN号不用于其它用途。一般情况下，两端的switch中的VLAN native应为一致。

b.对Native VLAN进行打标处理, 执行 vlan dot1q tag native。

3.VLAN 管理

当建立起多个VLAN时，另外新建一个VLAN用来管理和监测其他VLAN就很有必要了。默认的VLAN管理区是VLAN 1。