默认思科交换机运行DTP协议,如果攻击者在网络中发送DTP报文,则可能会出现交换机的接口被协商成Trunk,此时攻击者可以发送携带TAG标记的数据帧来访问所有的vlan设备。

    防范方式:关闭关闭DTP的协商,并且手工将端口配置到某一个VLAN,从而可以防止该攻击
    平时在配置交换机时,将无用的接口手工配置到某个VLAN中,并shutdown,可以防止非法设备接入

    VLAN Hopping :黑客通过native剥离标签的特性来实现跨VLAN数据的发送。

    防范方式:将NATIVE VLAN 设置成一个网络中不使用的VLAN,并且可以在交换机中设置NATIVR VLAN同样携带标签,从而防范该攻击。