Trong quản trị mạng Cisco, việc thay đổi Native VLAN mặc định (VLAN 1) trên các đường Trunk là một trong những nguyên tắc bảo mật cơ bản. Tuy nhiên, không phải tài liệu nào cũng giải thích chi tiết tại sao VLAN 1 lại tiềm ẩn rủi ro. Bài viết này sẽ phân tích sâu về mối liên hệ giữa VLAN 1 và các kiểu tấn công VLAN Hopping.
1. Tại sao VLAN 1 lại đặc biệt?


Trên thiết bị Cisco, VLAN 1 không giống hoàn toàn với các VLAN thông thường vì nó đảm nhận nhiều vai trò mặc định:

• Default Access VLAN: Tất cả các cổng mặc định đều thuộc VLAN 1.
• Default Native VLAN: Là VLAN mặc định cho các khung hình không được gắn thẻ (untagged) trên đường Trunk.
• Control Plane Traffic: Các giao thức lớp 2 như CDP, VTP, PAgP luôn trao đổi thông tin qua VLAN 1, bất kể VLAN này có được cho phép (allow) trên đường Trunk hay không.

2. Cơ chế tấn công VLAN Hopping
​

VLAN Hopping là kỹ thuật cho phép kẻ tấn công gửi lưu lượng từ VLAN này sang VLAN khác mà không cần thông qua thiết bị định tuyến (Layer 3). Đây là kiểu tấn công unidirectional (một chiều), thường được dùng để triển khai DoS hoặc DDoS nhằm làm cạn kiệt tài nguyên của mục tiêu.

Có hai phương thức chính để thực hiện:

---

3. Phương thức 1: Switch Spoofing (Giả mạo Switch)


Nguyên nhân: Do giao thức DTP (Dynamic Trunking Protocol) được bật mặc định trên các cổng của Cisco Switch (chế độ Dynamic Auto hoặc Dynamic Desirable).

• Cách thức: Kẻ tấn công sử dụng phần mềm để gửi các bản tin DTP, giả lập một Switch đang kết nối vào cổng đó. Nếu thành công, một đường Trunk sẽ được thiết lập.
• Hậu quả: Sau khi thiết lập Trunk, kẻ tấn công có thể truy cập vào tất cả các VLAN được lưu thông trên đường truyền đó.

Cách khắc phục: Cấu hình cố định các cổng người dùng cuối ở chế độ Access và tắt thương lượng Trunk:
Switch(config-if)# switchport mode access
Switch(config-if)# switchport nonegotiate

---

4. Phương thức 2: Double Tagging (Gắn thẻ kép)


Đây là phương thức lợi dụng trực tiếp cơ chế xử lý của Native VLAN.

Điều kiện để tấn công thành công:

1. Kẻ tấn công kết nối vào một cổng thuộc cùng VLAN với Native VLAN của đường Trunk (mặc định là VLAN 1).
2. Mục tiêu nằm ở một VLAN khác (ví dụ: VLAN 50).

Quy trình thực hiện:

1. Gắn thẻ kép: Kẻ tấn công gửi một khung hình Ethernet có hai thẻ 802.1Q. Thẻ ngoài có ID trùng với Native VLAN (VLAN 1), thẻ trong có ID của VLAN mục tiêu (VLAN 50).
2. Xử lý tại Switch đầu tiên: Khi Switch nhận được khung hình, nó thấy thẻ ngoài trùng với Native VLAN nên sẽ gỡ bỏ thẻ này và gửi khung hình qua đường Trunk dưới dạng không gắn thẻ (theo cơ chế thông thường của Native VLAN).
3. Xử lý tại Switch thứ hai: Switch bên kia nhận được khung hình, lúc này chỉ còn lại thẻ thứ hai (VLAN 50). Nó coi đây là lưu lượng thuộc VLAN 50 và chuyển tiếp đến cổng của nạn nhân.

---

5. Giải pháp bảo mật khuyến nghị


Để ngăn chặn triệt để nguy cơ VLAN Hopping, cần triển khai đồng bộ các lớp bảo mật sau:

• Chuyển tất cả cổng người dùng về Mode Access: Không để cổng ở trạng thái chờ thương lượng Trunk.
• Thay đổi Native VLAN mặc định: Sử dụng một VLAN ID riêng biệt (VLAN rác), không trùng với bất kỳ VLAN dữ liệu nào đang hoạt động.
  Switch(config-if)# switchport trunk native vlan <ID_khác_1>
• Gắn thẻ bắt buộc cho Native VLAN: Ép Switch phải gắn thẻ cho cả Native VLAN trên đường Trunk để ngăn chặn việc gỡ thẻ ở Switch trung gian.
  Switch(config)# vlan dot1q tag native

Việc kết hợp các phương pháp trên sẽ loại bỏ khả năng kẻ tấn công lợi dụng cơ chế của VLAN 1 để xâm nhập trái phép vào các phân vùng mạng khác.
​