Un alt tip de atac VLAN este un atac de sărit VLAN dublă-etichetare (sau dublă-încapsulare). Acest tip de atac profită de modul în care operează hardware-ul pe majoritatea switch-urilor. Cele mai multe switch-uri efectuează doar un nivel de decapsulare 802.1Q, ceea ce permite unui atacator să încorporeze o etichetă 802.1Q ascunsă în interiorul frame-ului. Această etichetă permite frame-ului să fie transmis către un VLAN pe care eticheta 802.1Q nu îl specifica. O caracteristică importantă a atacului de sărit VLAN de dublă-încapsulare este că funcționează chiar dacă porturile trunk sunt dezactivate, deoarece un host de regulă trimite un frame pe un segment care nu este o legătură trunk.
Un atac de sărit VLAN dublă-etichetare urmează următorii trei pași:
1. Atacatorul trimite un frame 802.1Q dublu-etichetat către switch. Antetul exterior are eticheta VLAN-ului atacatorului, care este același cu VLAN-ul nativ al portului trunk. Presupunerea este că switch-ul procesează frame-ul primit de la atacator ca și cum ar fi pe un port trunk sau pe un port cu VLAN voce (un switch nu ar trebui să primească un frame Ethernet etichetat pe un port de acces). Pentru scopul acestui exemplu, presupuneți că VLAN-ul nativ este VLAN 10. Eticheta interioară este VLAN-ul victimă; în acest caz VLAN 20.
2. Frame-ul ajunge pe switch, care se uită la prima etichetă 802.1Q de 4 octeți. Switch-ul vede că frame-ul este destinat pentru VLAN-ul 10, care este VLAN-ul nativ. Switch-ul trimite mai departe pachetul către toate porturile VLAN-ului 10, după îndepărtarea etichetei de VLAN 10. Pe portul trunk, eticheta de VLAN 10 este îndepărtată, iar pachetul nu este reetichetat deoarece face parte din VLAN-ul nativ. În acest punct, eticheta de VLAN 20 este încă intact și nu a fost inspectat de primul switch.
3. Al doilea switch se uită doar la eticheta 802.1Q interioară pe care a trimis-o atacatorul și vede ca frame-ul este destinat pentru VLAN-ul 20, VLAN-ul țintă. Al doilea switch trimite frame-ul către portul victimă sau îl inundă, dacă există o intrare în tabela de adrese MAC pentru hostul victimă.
Acest tip de atac este unidirecțional și funcționează doar când atacatorul este conectat la un port situat în același VLAN ca VLAN-ul nativ al portului trunk. Contracararea acestui tip de atac nu este la fel de ușoară ca atacurile de bază de sărit VLAN.
Cea mai bună abordare pentru atenuarea atacurilor este asigurarea că VLAN-ul nativ al porturilor trunk este diferit de VLAN-ul oricăror alte porturi de utilizator. Defapt, este considerată cea mai bună practică de securitate să folosiți un VLAN fix care este diferit de toate VLAN-urile utilizatorilor din reţeaua cu switch-uri, ca VLAN nativ pentru toate trunk-urile 802.1Q.