|
Отключить Dynamic Trunking Protocol (DTP) |
 |
Dynamic Trunking Protocol помогает автоматически создавать trunk между двумя устройствам Cisco. В случае, когда на двух портах включен DTP, и хотя бы один из них переведен в режим desirable, два коммутатора согласуют организацию trunk на этой линии связи. Не следует путать DTP и VLAN Trunking Protocol (VTP), хотя VTP домен действительно играет значение для DTP.
Кадр DTP имеет достаточно простую структуру , по существу анонсируется VTP домен, статус интерфейса, и его DTP тип. Эти кадры передаются в native (или access) VLAN каждые 60 секунд в случае если на порту включен DTP.
DTP включен по умолчанию на всех современных коммутаторах Cisco. Возникает вопрос «зачем?». Действительно ли вы хотите, чтобы коммутаторы создавали trunk по собственной инициативе? Скорее всего нет, по нескольким причинам.
Во первых, использование DTP часто говорит о некачественном дизайне т.к. trunk должны быть там, где запланировано и только там. Во вторых, оставить порты в режиме DTP — значит создать брешь в безопасности. Все что будет необходимо злоумышленнику, это отправить корректный DTP кадр на access порт, преобразовав его тем самым в trunk. Тем самым злоумышленник получит доступ ко всем vlan, на этом коммутаторе, которые разрешены на этом порту (по умолчанию все). К счастью, этих двух проблем можно избежать настроив статический режим порта «access» или «trunk» — что является по сути best practice.
! Access port Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10
! Trunk port Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk encapsulation dot1q
Однако, даже если порт настроен таким образом, DTP все равно активен на порту. Если вы попытаетесь настроить trunk между двумя коммутаторами в разных VTP доменах и получите следующее сообщение о ошибке, благодарите DTP:
%DTP-5-DOMAINMISMATCH: Unable to perform trunk negotiation on port Fa0/1 because of VTP domain mismatch.
Помните, что кадр DTP содержит имя VTP домена. Коммутатор не сможет создать trunk на порту с включенным DTP с коммутатором у которого отличается имя домена DTP, даже в случае статической настройки Trunk. К счастью, можно полностью отключить DTP на парту:
Switch(config-if)# switchport nonegotiate
Leave a Reply