你从这一讲中将学到的内容：如果确保一个虚拟局域网避开常见的攻击手段，如虚拟局域网跳跃攻击（hopping attack）和地址解析协议攻击。

　　配置三个或更多的交换机支持一个虚拟局域网和一个网络的分区是非常简单的和直截了当的过程。然而，确保一个虚拟专用网经得起攻击则完全是另外一回事！为了保证一个虚拟局域网的安全，你需要了解要保护它避免受到什么的攻击。下面是几种常见的攻击虚拟局域网的手段、你同这些攻击手段作斗争的方法以及在某种情况减小攻击损失的方法。

　　虚拟局域网跳跃攻击

　　虚拟局域网跳跃攻击（hopping attack）的基本方式是以动态中继协议为基础的，在某种情况下还以中继封装协议（trunking encapsulation protocol或802.1q）为基础。动态中继协议用于协商两台交换机或者设备之间的链路上的中继以及需要使用的中继封装的类型。

　　中继协商功能可以在交换机接口打开，可在接口级上输入如下指令：Switch(config-if)#switchport mode dynamic。

　　虽然这个设置能够让配置交换机的过程更方便，但是，它在你的虚拟局域网中隐藏了一个严重的隐患。一个站点能够很容易证明它自己在使用802.1q封装的交换机，从而创建了一个中继链接，并成为所有虚拟局域网中的一个成员。

　　幸亏思科最新的IOS操作系统修复了这个安全漏洞。要避免可能出现的虚拟局域网跳跃攻击，请不要在接口级使用“动态”模式，并且把网络配置为“中继”或者“接入”类型。

　　地址解析协议攻击

　　地址解析协议攻击在黑客领域是很常见的。现有的工具可以绕过交换机的安全功能。交换机能够在两个节点之间创建一个虚拟通信频道，并且禁止其他人“偷听”他们的谈话。

　　在地址解析攻击中，入侵者获得了IP地址以及有关他想攻击的网络的其它统计数据，然后利用这些信息实施攻击。入侵者向这个网络交换机发送大量的地址解析广播，告诉这个交换机所有的IP地址或者一部分IP地址是属于这个交换机的，从而在入侵者对数据进行侦察时，迫使交换机把所有的数据包和谈话数据都发送给他。

　　你可以在高端Catalyst交换机上使用“端口安全”指令避开这个问题，这些交换机的型号包括4000、4500、5000和6500系列交换机。