1、vlan hoping***
原理:发送DTP包使其链路形成trunk,发数据时打上想到达vlan的tag即可
***:工具yersinia dtp -attack 0
防范: Switch(config-if)#switchport mode access
 
2、double tag***
原理:打上双层标签,接入层交换机除去一个标签,再因为native vlan不打标签,再发到想到达的vlan
条件:(1)收到的外层tag和端口绑定的vlan一样
      (2)用户端口绑的vlan是native vlan
防范
·    不将native vlan分配给任何访问端口
Switch(config-if)#switchport trunk native vlan 10
·    从trunk中删除native vlan(不建议)
Switch(config-if)#switchport trunk allowed vlan all
Switch(config-if)#switchport trunk allowed vlan remove 10
·    强制trunk的所有流量都要打tag
Switch(config)#vlan dot1q tag native
or  Switch(config-if)#switchport trunk native vlan tag