VLAN e 802.1Q: segmentazione di rete, trunk e VLAN hopping in un pentesting
Scopri come funzionano VLAN e 802.1Q, differenza tra access e trunk, native VLAN, inter-VLAN routing, DTP, double tagging e tecniche di VLAN hopping in pentest.
- Pubblicato il 2026-03-26
- Tempo di lettura: 8 min
Le VLAN sono il meccanismo principale con cui le reti enterprise separano il traffico. Capire cos’è una VLAN e come funziona 802.1Q è fondamentale per chi fa pentesting: la segmentazione VLAN è spesso l’unico confine tra una rete utente, la rete server e la rete di management. Se quella segmentazione è mal configurata, crolla tutto. Il VLAN hopping è una delle tecniche più sottovalutate in un engagement di internal network pentesting.
Cos’è una VLAN #
Una VLAN (Virtual Local Area Network) è un meccanismo che permette di creare reti locali logicamente separate all’interno della stessa infrastruttura fisica. Due host nella stessa VLAN si comportano come se fossero nello stesso segmento fisico; due host in VLAN diverse non possono comunicare senza passare per un router o un layer 3 switch, anche se sono fisicamente collegati allo stesso switch.
Lo standard che definisce il tagging VLAN su reti Ethernet è IEEE 802.1Q, ratificato nel 1998 e poi aggiornato più volte.
Prima delle VLAN, separare il traffico richiedeva hardware dedicato: switch fisici separati per ogni segmento. Le VLAN rendono questa separazione virtuale e gestibile via software, mantenendo comunque un isolamento logico robusto — se configurato correttamente.
Come funziona 802.1Q #
Il tag VLAN nel frame Ethernet #
802.1Q funziona inserendo un tag di 4 byte nel frame Ethernet, tra il campo MAC Source e il campo EtherType/Length originale.
Struttura del tag 802.1Q:
| Campo | Dimensione | Descrizione |
|---|---|---|
| TPID (Tag Protocol Identifier) | 2 byte | 0x8100 — identifica il frame come tagged |
| PCP (Priority Code Point) | 3 bit | Priorità QoS (802.1p) |
| DEI (Drop Eligible Indicator) | 1 bit | Frame eliminabile in caso di congestione |
| VID (VLAN Identifier) | 12 bit | ID della VLAN (1–4094) |
Con 12 bit per il VLAN ID, lo standard supporta fino a 4094 VLAN (0 e 4095 sono riservati).
Porte Access e Trunk #
Gli switch 802.1Q distinguono due tipi di porta:
Porta Access (access port) Appartiene a una singola VLAN. Il traffico che entra ed esce non ha tag VLAN: lo switch aggiunge o rimuove il tag in modo trasparente. Gli host connessi a porte access non vedono mai i tag VLAN.
Porta Trunk (trunk port) Trasporta traffico di multiple VLAN contemporaneamente. I frame mantengono il tag 802.1Q che identifica la VLAN di appartenenza. Le trunk port collegano switch tra loro, switch a router, e switch a server che gestiscono più VLAN (hypervisor, firewall).
Native VLAN Su una trunk port, la native VLAN è quella il cui traffico transita senza tag. È un concetto critico per la sicurezza: una native VLAN mal configurata è alla base del double-tagging attack.
Inter-VLAN routing #
Due host in VLAN diverse non possono comunicare direttamente: il traffico deve passare per un layer 3 device. Le opzioni sono:
- Router-on-a-stick: un router con una singola interfaccia trunk, con sub-interfacce virtuali per ogni VLAN
- Layer 3 switch (SVI): uno switch con Switch Virtual Interface per ogni VLAN, che gestisce il routing internamente
- Firewall come gateway inter-VLAN: configurazione comune in ambienti con policy di sicurezza stringenti
Dove vengono usate le VLAN nelle reti #
Le VLAN sono lo strumento di segmentazione base in qualsiasi rete enterprise:
- Separazione dipartimentale: VLAN HR, VLAN Finance, VLAN IT, VLAN Guest
- Reti VoIP: VLAN voce separata dalla VLAN dati per QoS e sicurezza
- Rete di management: VLAN dedicata per l’accesso agli switch, router e dispositivi di infrastruttura
- DMZ virtuale: VLAN per server esposti separata dalla rete interna
- Ambienti di produzione OT/ICS: VLAN per isolare i sistemi industriali dalla rete corporate
- Datacenter: VLAN per separare tenant, ambienti (dev/test/prod), e traffico di storage
In quasi ogni engagement di internal network pentesting, la segmentazione VLAN è la prima cosa da analizzare: capire come è strutturata rivela la topologia dell’intera rete e identifica i percorsi verso i target più sensibili.
Perché le VLAN sono importanti in cybersecurity #
Le VLAN creano confini logici che limitano la propagazione degli attacchi. Un attaccante in una VLAN utente non dovrebbe vedere il traffico della VLAN server o raggiungere la VLAN di management — in teoria.
In pratica, le misconfigurazioni VLAN sono comuni e spesso critiche:
- Native VLAN configurata su trunk port uguale a una VLAN dati
- Dynamic Trunking Protocol (DTP) attivo su porte di accesso
- Switch access port configurata sulla VLAN di management
- VLAN 1 (default) usata come VLAN dati o di management
Conoscere 802.1Q permette di identificare e sfruttare queste misconfigurazioni. Le informazioni sulle VLAN presenti in una rete spesso emergono passivamente da LLDP e ARP. Il livello fisico su cui operano i frame 802.1Q è descritto nell’articolo su Ethernet IEEE 802.3.
VLAN in un engagement di pentesting #
Reconnaissance: identificare le VLAN presenti #
La prima fase è capire quante VLAN esistono e come sono configurate. Le fonti principali:
LLDP/CDP: rivelano le VLAN configurate sulla porta a cui sei connesso, e a volte la lista completa delle VLAN dell’infrastruttura.
lldpcli show neighborsARP scanning per VLAN: se riesci a inviare traffico taggato, puoi fare discovery in VLAN diverse da quella in cui sei.
Traffico passivo: osservando i tag 802.1Q nel traffico catturato si identificano le VLAN attive nel segmento.
tcpdump -i eth0 -nn -e vlanPost-compromise su switch: se ottieni accesso alla CLI di uno switch:
show vlan brief
show interfaces trunk
show cdp neighbors detailEnumeration della topologia VLAN #
Mappare le VLAN significa capire:
- Quali VLAN esistono e il loro scopo
- Quali subnet IP sono associate a ogni VLAN
- Dove si trova la VLAN di management
- Quali VLAN contengono sistemi ad alto valore (server, DC, firewall)
Combinato con Nmap per ogni subnet identificata, si ottiene una mappa completa dell’infrastruttura.
Attack surface: VLAN hopping #
Il VLAN hopping è la tecnica per sfuggire dalla propria VLAN e accedere a VLAN altrui senza autorizzazione. Ci sono due metodi principali.
Metodo 1 — Switch Spoofing (DTP Exploitation)
DTP (Dynamic Trunking Protocol) è un protocollo Cisco che permette la negoziazione automatica delle trunk port. Se attivo su una porta di accesso (configurazione di default su molti switch Cisco), un attaccante può negoziare un trunk e ricevere traffico di tutte le VLAN.
Con Scapy o yersinia:
yersinia dtp -attack 1 -interface eth0Se la negoziazione ha successo, l’interfaccia dell’attaccante diventa una trunk port. A quel punto è possibile inviare e ricevere frame taggati per qualsiasi VLAN.
Metodo 2 — Double Tagging
Il double tagging sfrutta la native VLAN. L’attaccante costruisce un frame con due tag 802.1Q annidati:
- Tag esterno: VLAN nativa dello switch (es. VLAN 1)
- Tag interno: VLAN target (es. VLAN 99 — management)
Quando lo switch riceve il frame, rimuove il tag esterno (native VLAN, non tagged) e forwarda il frame con il tag interno verso un altro switch. Il secondo switch vede il tag interno e instrada il frame nella VLAN target.
Limitazione: il double tagging è unidirezionale. Il frame arriva nella VLAN target, ma le risposte tornano attraverso il routing normale — a meno di non combinarlo con tecniche di man-in-the-middle.
Pivoting attraverso le VLAN #
Una volta ottenuto accesso a una VLAN aggiuntiva (tramite hopping o routing non autorizzato), è possibile:
- Accedere a subnet precedentemente irraggiungibili
- Raggiungere la VLAN di management e attaccare gli switch direttamente
- Muoversi lateralmente verso VLAN server o DMZ
- Intercettare traffico di altre VLAN con tecniche di sniffing
Attacchi e abusi possibili sulle VLAN #
Switch Spoofing via DTP #
Come descritto: negoziare un trunk sfruttando DTP abilitato su porte di accesso. Consente di ricevere traffico di tutte le VLAN del trunk.
Double Tagging Attack #
Frame con doppio tag 802.1Q per attraversare la native VLAN e inviare traffico a VLAN altrui. Unidirezionale ma efficace per reconnaissance.
VLAN 1 Abuse #
VLAN 1 è la default VLAN su praticamente tutti gli switch. Spesso usata per traffico di management e STP. Se un host è nella VLAN 1 o riesce ad accedervi, ha visibilità su molto traffico infrastrutturale.
Rogue Switch #
Connettere uno switch non autorizzato alla rete e negoziare un trunk con DTP. Lo switch rogue riceve traffico di tutte le VLAN del trunk, permettendo sniffing massivo.
Starvation della CAM table combinata con VLAN #
Combinare un attacco di CAM table overflow con la conoscenza delle VLAN per massimizzare la visibilità del traffico catturato durante il flooding dello switch.
Esempi pratici con VLAN 802.1Q in laboratorio #
Configurare un’interfaccia con tag VLAN su Linux #
ip link add link eth0 name eth0.10 type vlan id 10
ip link set eth0.10 up
ip addr add 192.168.10.100/24 dev eth0.10Ora puoi inviare e ricevere traffico taggato VLAN 10 dall’interfaccia eth0.10.
Inviare frame double-tagged con Scapy #
from scapy.all import *
frame = Ether(dst="ff:ff:ff:ff:ff:ff") / \
Dot1Q(vlan=1) / \
Dot1Q(vlan=99) / \
IP(dst="10.99.0.1") / \
ICMP()
sendp(frame, iface="eth0")Analisi VLAN con Wireshark #
Visualizzare tutto il traffico taggato:
vlanFiltrare per VLAN specifica:
vlan.id == 99Identificare double-tagged frames:
vlan && vlanEnumeration con yersinia #
yersinia è un tool per attacchi su protocolli di livello 2, incluso DTP:
yersinia -G # interfaccia grafica
# oppure
yersinia dtp -attack 1 -interface eth0Detection e difesa VLAN 802.1Q #
Un difensore che monitora la rete per attacchi VLAN può rilevare:
- Frame DTP su porte di accesso: uno switch non dovrebbe ricevere DTP da porte utente
- Frame 802.1Q doppiamente taggati: praticamente mai legittimi su porte di accesso
- Variazioni improvvise nella CAM table con traffico taggato anomalo: possibile rogue switch
- Traffico VLAN non previsto da host specifici: un host utente che invia frame taggati è sospetto
- Negoziazione di trunk non autorizzata: loggare tutti gli eventi di cambio modalità porta
Hardening e mitigazioni VLAN #
Disabilitare DTP su tutte le porte di accesso #
Su switch Cisco, su ogni porta di accesso:
interface GigabitEthernet1/0/1
switchport mode access
switchport nonegotiateswitchport nonegotiate disabilita DTP. Mai lasciare porte in modalità dynamic auto o dynamic desirable.
Cambiare la native VLAN su tutte le trunk #
Non usare mai VLAN 1 come native VLAN su trunk port. Assegna una VLAN dedicata non usata altrove:
interface GigabitEthernet1/0/24
switchport trunk native vlan 999
switchport trunk allowed vlan 10,20,30,50Non usare VLAN 1 per traffico dati o di management #
VLAN 1 dovrebbe essere vuota o usata solo per traffico di controllo STP. Non assegnare mai host di produzione alla VLAN 1.
Limitare le VLAN permesse su ogni trunk #
Ogni trunk dovrebbe trasportare solo le VLAN strettamente necessarie. Usa switchport trunk allowed vlan per restringere esplicitamente.
802.1X su tutte le porte di accesso #
Autenticare i dispositivi prima di assegnarli a una VLAN. In combinazione con un RADIUS server, permette di assegnare dinamicamente le VLAN in base all’identità del dispositivo.
Isolare la VLAN di management #
La VLAN di management degli switch non dovrebbe mai essere raggiungibile dalle VLAN utente. ACL inter-VLAN sul layer 3 switch o firewall.
Errori comuni sulle VLAN #
“Le VLAN sono un firewall” No. Le VLAN forniscono separazione logica del traffico L2, ma non applicano policy di sicurezza. Il traffico inter-VLAN passa per un router o L3 switch: se le ACL sono assenti o permissive, la separazione è solo apparente.
“VLAN 1 non è pericolosa se non la uso” VLAN 1 è ancora presente e attiva su tutte le porte di default. STP, CDP, VTP e altro traffico di controllo usa spesso VLAN 1. Lasciare host sulla VLAN 1 o non gestirla esplicitamente è un rischio.
“Il VLAN hopping richiede hardware speciale” Falso. Qualsiasi PC Linux con Scapy o yersinia è sufficiente per testare DTP exploitation e double tagging.
“Cambiare il VLAN ID ogni tanto protegge” No. La sicurezza VLAN dipende dalla corretta configurazione delle porte (access vs trunk, DTP disabilitato, native VLAN dedicata), non dalla segretezza dei VLAN ID.
FAQ su VLAN 802.1Q #
Cos’è una VLAN e a cosa serve? Una VLAN (Virtual Local Area Network) è un meccanismo che permette di separare logicamente il traffico di rete su un’infrastruttura fisica condivisa. Host in VLAN diverse non possono comunicare senza passare per un router, anche se connessi allo stesso switch fisico.
Cos’è il VLAN hopping e come funziona? Il VLAN hopping è una tecnica d’attacco che permette di sfuggire dalla propria VLAN e inviare traffico a VLAN altrui senza autorizzazione. I metodi principali sono lo switch spoofing via DTP e il double tagging con frame 802.1Q annidati.
La segmentazione VLAN è sufficiente per isolare le reti? Non da sola. Le VLAN separano il traffico L2, ma il traffico inter-VLAN passa per un router o L3 switch. Senza ACL appropriate su quel dispositivo, la separazione è solo logistica, non di sicurezza.
Come si verifica se DTP è abilitato su uno switch?
Su Cisco: show dtp interface GigabitEthernet1/0/1. Se lo stato è dynamic auto o dynamic desirable, DTP è attivo e la porta è vulnerabile a switch spoofing.
Quante VLAN si possono creare con 802.1Q? Lo standard 802.1Q usa 12 bit per il VLAN ID, permettendo 4094 VLAN distinte (gli ID 0 e 4095 sono riservati). In pratica, la maggior parte degli switch supporta da qualche centinaio a qualche migliaio di VLAN attive contemporaneamente.
Conclusione su VLAN 802.1Q #
Le VLAN sono la spina dorsale della segmentazione nelle reti enterprise. Capirne il funzionamento a fondo significa capire dove sono i confini della rete, come sono costruiti, e dove possono cedere.
DTP abilitato su porte di accesso, native VLAN mal configurata, VLAN 1 non gestita: sono misconfigurazioni reali, presenti in moltissime reti enterprise, che permettono a un attaccante di attraversare confini che dovrebbero essere impermeabili.
In un engagement di internal network pentesting, la reconnaissance VLAN è uno dei primi passi dopo il posizionamento iniziale. Identificare la struttura VLAN dell’infrastruttura cambia completamente la visione della superficie di attacco disponibile.
Approfondisci i protocolli e le tecniche correlate:
- Ethernet IEEE 802.3: frame e livello datalink
- ARP: discovery e spoofing
- LLDP: discovery passivo dell’infrastruttura
- STP e RSTP: spanning tree e sicurezza
- Sniffing su reti locali
- Man in the Middle: tecniche e tool
- Nmap: port scanning e service detection
Riferimento ufficiale: IEEE 802.1Q — Bridges and Bridged Networks
Vuoi verificare se la segmentazione VLAN della tua infrastruttura regge davvero a un attacco? Un penetration test professionale può fare la differenza prima che lo faccia qualcun altro. Contattaci su hackita.it/servizi.
Se HackITA ti aiuta a crescere nel mondo dell’offensive security, puoi sostenerlo qui: hackita.it/supporto
