ARGOMENTO:

Ragà perdonate se la domanda può sembrare scema ma mi sto confondendo un pò le idee.
Dunque mi confermate che la nativa è quella senza il tag dot1q? Ergo non passa sul trunk, in un certo senso il frame muore.
Dunque perchè è best practice spostare le interfacce in disuso dalla vlan 1 (la nativa appunto) alla 99?
Mi sfugge la pericolosità della vlan 1 insomma!

Ciao Giustino,
il punto è che è corretto dire che la nativa è quella senza il tag dot1q, ma è falso dire che non passa sul trunk. Passa eccome, ma senza TAG (a meno che, come da best practice, se ne impedisce il passaggio). Ed è proprio il passaggio di frame senza tag a costituire il pericolo (ad esempio che essi vengano interpretati differentemente dalle due estremità del trunk - vlan hopping)

Ah ok si così riesco a capire il perchè è pericolosa! Grazie Jo!

Jo se invece volessi entrare in ssh nello switch per configurarlo devo utilizzare una vlan dedicata e assegnarle un indirizzo ip per la SVI???
Grazie ancora!

Si, può essere assegnato un IP alla SVI associata alla vlan che più ti aggrada. L'importante è che sia in qualche modo raggiungibile (ad esempio, configurando la SVI sulla VLAN 10, quando TUTTE le porte dello switch sono in accesso sulla 9, rende impossibile contattare la VLAN 10)

Salve, riprendo questo topic in quanto si è accennato, se non erro,di VLAN Hopping Attack.
In breve per tale tipologia di Attacco esistono due metodi principali di hopping VLAN.

1)switch spoofing, ove un attaccante impersona un trunking swicth, il quale può essere mitigato con una corretta configurazione della porta eseguendo i seguenti comandi:
switchport mode access e switchport nonegotiate

2)double tagging, ove un attaccante "nasconde" tags 802.1Q nel suo frame, il quale può essere mitigato con una corretta configurazione della Interface, only trunk, eseguendo il comando:
switchport trunk native vlan numero-vlan ove il numero di VLAN scelto non deve essere in uso su nessun'altra Interface dello switch.

Da qui pongo la domanda, scusandomi in quanto non mi ricordo bene , per il punto 2.
Ossia il double encapsulated VLAN attack.

Sullo switch devo creare per forza la VLAN, ad esempio la 99, dedicata a mitigare l'hopping VLAN e dare il comando switchport trunk native vlan 99 sulla porta scelta ?

O è sufficente dare solamente il comando switchport trunk native vlan 99 senza dover creare per forza la VLAN relativa ?

Personalmente ho notato che su un Catalyst dando solamente il comando switchport trunk native vlan 99 senza la creazione della VLAN 99 non ha dato errore.

Ma non ho potuto ancora testarlo con dei tools dedicati.

Un Cordiale saluto a tutti