Некоторые способы защиты от атак VLAN hopping:

• Отключение автоматического формирования транков (Switch Spoofing). 1 Например, на коммутаторах Cisco транки по умолчанию устанавливаются автоматически с использованием протокола DTP. 1 Чтобы избежать этого, нужно отключить DTP на всех портах, которые не используются как транковые. 1
• Настройка Native VLAN. 1 Нужно убедиться, что Native VLAN используется только для служебного трафика и отличается от VLAN конечных пользователей. 1
• Фильтрация VLAN-тегов (Double Tagging). 1 На транковых портах нужно разрешить только те VLAN, которые действительно используются. 1 Так злоумышленник не сможет использовать запрещённые VLAN для атаки. 1
• Включение BPDU Guard. 1 Это дополнительная мера, предотвращающая добавление несанкционированных устройств. 1 Если злоумышленник пытается подключить свой коммутатор, порт блокируется. 1
• Настройка защиты от MAC Flooding. 1 Нужно настроить ограничение на количество MAC-адресов для каждого порта. 1
• Реализация аутентификации 802.1X. 2 Перед доступом к сети устройства должны подтвердить свою идентичность. 2
• Мониторинг сетевого трафика. 2 Постоянный мониторинг позволяет своевременно обнаруживать и реагировать на атаки Switch Spoofing и Double Tagging. 2

Также для поддержания безопасности сети важен регулярный мониторинг и аудит конфигураций VLAN. 5