VLAN (802.1q)

En VLAN-kapabel switch grupperar sina fysiska portar i VLAN baserat på en extra header, tag, som paketen förses med när de kommer in i switchen, och som avlägsnas när de lämnar den. Man kan koppla ihop flera switchar så att de olika VLANen kan spänna över flera sådana genom att låta switch-till-switch-trafiken behålla vlan-taggarna (trunk). Man kan tycka att detta skulle vara helt säkert, men det finns några svagheter:

Den fysiska säkerheten för switcharna samt trunken däremellan är givetvis viktig. Genom att injicera trafik inkluderande önskad vlan-header kan säkerheten komprometteras totalt. Samma sak gäller förstås för eventuella vlan-kapabla maskiner anslutna till trunken, liksom om trunken ansluts till en annan opålitlig nod.

Det finns ofta ett speciellt default-vlan, som nyttjas dels om man inte angett ngt annat, dels kan användas för management. Genom bristfällig konfiguration kan detta komma att omfatta hela nätet och blir då förstås ett säkerhetsproblem.

802.1q definierar ett 'native VLAN' för bakåtkompatibilitet med äldre switchar. Detta kan ställa till problem: låt oss anta att det sitter en komprometterad maskin på samma VLAN som ett 'native' dito. Då kan denna injicera paket med en extra VLAN-tagg, denna tas bort på väg till trunken, därmed blir den inre taggen kvar. Detta ger möjlighet till VLAN-hopp.