VLAN Trunk Security
Voici les actions à appliquer afin d'atténuer les attaques par saut de VLAN :
- Désactiver les négociations DTP (auto trunking) sur les ports en
accessen spécifiant que le port est en modeaccess.
S1(config-if)# switchport mode access
-
Activer manuellement la liaison sur un port de jonction en utilisant la commande de configuration de l'interface de jonction en mode switchport.
-
Désactiver les négociations DTP (auto trunking) sur les ports trunk.
S1(config-if)# switchport nonegotiate
- Définir un VLAN Natif autre que 1 sur les ports trunk
S1(config-if)# switchport mode trunk
S1(config-if)# switchport nonegotiate
S1(config-if)# switchport trunk native vlan 999
- Désactivez les ports inutilisés et placez-les dans un VLAN inutilisé.
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 666
S1(config-if)# shutdown
Exemple
S1(config)# vlan 666
S1(config-vlan)# name TRASH
S1(config-vlan)# exit
S1(config)# vlan 999
S1(config-vlan)# name NATIF
S1(config-vlan)# exit
S1(config)#
S1(config)# inteface fa 0/1
S1(config-if)# description "PORT NON UTILISE"
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 666
S1(config-if)# shutdown
S1(config)#
S1(config)# inteface fa 0/1
S1(config-if)# description "PORT EN MODE ACCESS"
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 10
S1(config)#
S1(config)# inteface fa 0/1
S1(config-if)# description "PORT EN MODE TRUNK"
S1(config-if)# switchport mode trunk
S1(config-if)# switchport nonegotiate
S1(config-if)# switchport trunk allow vlan 10
S1(config-if)# switchport trunk native vlan 999