Innym rodzajem ataku na sieci VLAN jest przeskakiwanie między sieciami VLAN poprzez podwójne znakowanie. Ten rodzaj ataku wykorzystuje sposób działania większości przełączników. Większość przełączników wykonuje dekapsulację tylko jednego nagłówka 802.1Q, co pozwala atakującemu na zagnieżdżenie ukrytego znakowania 802.1Q wewnątrz ramki. To pozwala ramce być przekazaną do sieci VLAN, której nie określał oryginalny znacznik 802.1Q. Ważną cechą ataku przeskakiwania między sieciami VLAN przez podwójne enkapsulowanie jest, że działa on nawet wtedy kiedy porty połączenia trunk są wyłączone, ponieważ hosty normalnie wysyłają ramki na połączeniach dostępowych, które nie są połączeniami trunk.
Atak przeskakiwania pomiędzy sieciami VLAN przez podwójne znakowanie przebiega w trzech krokach:
1. Atakujący wysyła podwójnie znakowaną ramkę 802.1Q do przełącznika. Zewnętrzny nagłówek posiada znacznik VLAN atakującego, który jest taki sam jak VLAN natywny portu trunk. Założeniem jest, że przełącznik obsłuży ramkę otrzymaną od atakującego w taki sposób jakby była otrzymana na porcie trunk lub porcie z głosową siecią VLAN (przełącznik nie powinien otrzymać oznakowanej ramki Ethernet na porcie dostępowym). Dla celów tego przykładu załóżmy, że VLAN 10 jest natywnym. Wewnętrzny znacznik jest równy numerowi VLAN ofiary ataku; w tym przypadku jest to 20.
2. Ramka dociera do przełącznika, który sprawdza pierwsze 4 bajty znacznika 802.1Q. Przełącznik widzi, że ramka przeznaczona jest do sieci VLAN 10, która jest siecią VLAN natywną. Przełącznik po usunięciu znacznika VLAN 10 przekazuje ramkę do wszystkich portów należących do VLAN 10. Na porcie trunk znacznik VLAN 10 został usunięty i ramka nie jest ponownie znakowana, ponieważ jest skierowana do natywnej sieci VLAN. W tym miejscu znacznik VLAN 20 jest wciąż obecny i nie był sprawdzany przez pierwszy przełącznik.
3. Kolejny przełącznik zagląda do wewnętrznego znacznika 802.1Q, który umieścił atakujący i widzi, że ramka przeznaczona jest do sieci VLAN 20. Przełącznik wysyła więc ramkę do portu na którym podłączona jest ofiara ataku lub na wszystkie porty, w zależności od tego czy w tablicy adresów MAC istnieje wpis dla ofiary ataku.
Ten typ ataku jest jednokierunkowy i działa tylko wtedy kiedy atakujący jest podłączony do portu znajdującego się w tej samej sieci VLAN co VLAN natywny na porcie trunk. Udaremnienie tego rodzaju ataku nie jest tak łatwe jak prostego przeskakiwania między sieciami VLAN.
Najlepszym sposobem na uniknięcie podwójnego znakowania jest upewnienie się, że VLAN natywny na portach trunk jest inny od sieci VLAN wszystkich użytkowników. A zatem, dobrą praktyką w zakresie bezpieczeństwa jest używanie jako natywnej sieci VLAN ustalonej sieci VLAN, do której nie jest przypisany żaden port w całej sieci.