VLAN:s 并非天生不安全。我是从服务提供商的角度来写这篇文章的，其中 VLAN 是 99%（现场统计）案例中使用的技术，用于将不同的客户彼此区分开来。来自彼此的住宅客户，来自企业租用线路的住宅客户，来自彼此的企业 VPN，应有尽有。

存在的 VLAN 跳跃攻击都取决于几个因素：

• 交换机向您讲述某种中继协议，允许您“注册”不同的 VLAN。这不应该发生在客户端口上，或者应该有人被解雇。

• 该端口是一个标记端口，并且交换机不受双重标记数据包的保护。如果您的客户在 VLAN 标记的端口上，这只是一个问题，而您不应该这样做。即使那样，如果您在交换机之间的中继端口上允许未标记的数据包，这只是一个问题，同样，您不应该这样做。

如果攻击者可以访问有问题的物理线路，“数据包在同一条线路上传输”的推理是有效的。如果是这种情况，那么您面临的问题比 VLAN 所能解决的问题要大得多。

因此，无论如何都要使用 VLAN 作为安全措施，但请确保您永远不会将 VLAN 标签与您希望彼此分隔的实体说话，并跟踪在面向此类实体的端口上启用了哪些交换机功能。

人们不鼓励使用 VLAN 来确保安全的一个原因是，由于交换机的错误配置，已经出现了一些允许VLAN 跳跃的攻击。

思科也有一篇很好的论文解决了一些潜在的 VLAN 安全问题。

从本质上讲，使用 VLAN 进行网络隔离会增加交换机配置错误的可能性，或者运行它们的软件中的错误可能允许攻击者绕过隔离。

也就是说，VLAN 跳跃和 VTP 攻击的许多问题现在已经很老了，因此最新的交换机可能会解决这些问题。

我认为 VLAN 跳跃攻击被严重高估了。这并不意味着您不应该部署非常了解的操作程序来降低/消除这种攻击的风险（即永远不要在您的访问端口中使用与您在 802.1q 中继上用于本机VLAN的相同 VLANID . 作为推论，永远不要使用 VLAN 1)。我想说的是，从想要攻击你的人的角度来看，还有其他第二层 (L2) 技术比 VLAN 跳跃攻击更可靠且影响更大。

例如，对 ARP 协议的攻击部署起来非常简单，如果您的交换机不提供任何形式的保护，攻击者可能会造成巨大的破坏。如果您的 VLAN 很小，那么您的暴露就很大，如果您的 VLAN 很大，那么您的暴露就非常大（我的客户的整个公司网络都是一个巨大的 VLAN，但这是另一个问题）。

然后，您会通过使用和滥用生成树协议（耶尔森氏菌是事实上的工具）来攻击 LAN 的稳定性。也非常易于部署并对您的基础架构产生重大影响。

如果您的“标准”黑客无法利用 ARP 或生成树或 DHCP，根据我的经验，他会在尝试成功利用 VLAN 跳跃之前“转移到”/专注于您的基础设施的其他部分（数据库、Web、DNS）。

如果您喜欢第 2 层安全性，那么我不能充分推荐您阅读 Cisco Press 的“LAN Switch Security”一书。

缺乏安全性的主要原因在于，尽管您从逻辑角度进行了隔离，但您实际上是在同一条线路上运行网络，因此从攻击者的角度来看，一个 VLAN 上的访问通常不需要太多工作。其他 VLAN。

这就是为什么在安全审计期间，如果我发现路由器的管理 VLAN 与用户态 VLAN 在同一网络上运行，则会引发大红旗。

组织使用 VLAN 的主要原因是它很便宜，因为只需要实现一个物理网络。

物理隔离是最简单的解决方案，但确实需要更多的 NIC、更多的电线等。

加密（本质上是把 VLAN 变成 VPN）也可以工作，而且不是火箭科学。