Перейти к содержанию

DTP

Введение

DTP (Dynamic Trunking Protocol) — проприетарный протокол Cisco, предназначенный для автоматической настройки каналов типа trunk между коммутаторами. Он упрощает администрирование сетей, позволяя устройствам согласовывать режим работы интерфейса (access или trunk) автоматически.

Зачем нужен DTP?

В сетях с VLAN необходимо передавать трафик нескольких VLAN между коммутаторами. Для этого интерфейсы между ними должны работать в режиме trunk. Настройка таких интерфейсов вручную возможна, но может быть подвержена ошибкам. DTP автоматизирует этот процесс:

Преимущества DTP:

  • Упрощает настройку trunk-соединений
  • Уменьшает количество ошибок
  • Автоматическая адаптация при изменениях

Недостатки:

  • Возможность несанкционированного создания trunk-соединения
  • Уязвимость к атакам (например, VLAN hopping)

Принцип работы DTP

Когда два коммутатора соединены, и хотя бы один порт сконфигурирован для использования DTP, они обмениваются DTP-фреймами через канал данных. В зависимости от режима конфигурации, они договариваются, будет ли линк trunk или access.

Режимы интерфейсов DTP

На интерфейсах можно настроить следующие режимы:

dynamic auto

  • Интерфейс пассивно ожидает DTP-фреймы от другого устройства
  • Переходит в режим trunk только если соседний порт в режиме dynamic desirable или trunk

dynamic desirable

  • Интерфейс активно пытается договориться о trunk
  • Если соседний интерфейс в режиме auto или desirable, устанавливается trunk

trunk

  • Интерфейс принудительно работает как trunk, DTP-фреймы продолжают отправляться

access

  • Интерфейс принудительно работает в режиме access, игнорируя DTP-фреймы

nonegotiate

  • Интерфейс работает как trunk, но не отправляет DTP-фреймы
  • Используется для повышения безопасности и при подключении к устройствам, не поддерживающим DTP (например, маршрутизаторам, серверам)

Примеры согласования режимов

Устройство A Устройство B Результат
dynamic desirable dynamic desirable trunk
dynamic desirable dynamic auto trunk
dynamic auto dynamic auto access
trunk dynamic auto/desirable trunk
trunk access trunk (или ошибка)
access dynamic desirable access

Рекомендации по безопасности

DTP может быть использован злоумышленниками для проведения атак (например, VLAN hopping). Чтобы этого избежать:

Выключайте DTP на access-портах:

Switch(config-if)# switchport mode access
Switch(config-if)# switchport nonegotiate

Явно определяйте режим интерфейсов:

  • Не используйте dynamic auto/desirable, если это не необходимо
  • Используйте static trunk или static access

Практика в Cisco Packet Tracer

Настройка производится на интерфейсах коммутаторов. Рассмотрим настройку на двух коммутаторах S1 и S2, соединённых портами FastEthernet0/1.

Настройка S1 (режим dynamic desirable)

Switch> enable
Switch# configure terminal
Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport mode dynamic desirable

Пояснение:

  • switchport mode dynamic desirable — активный режим, инициирует trunk, если возможно.

Настройка S2 (режим dynamic auto)

Switch> enable
Switch# configure terminal
Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport mode dynamic auto

Пояснение:

  • switchport mode dynamic auto — пассивный режим, не инициирует trunk, но согласится с предложением.

Проверка типа канала

Switch# show interfaces fastEthernet 0/1 switchport

Ключевые поля в выводе:

  • Administrative Mode: dynamic auto/desirable
  • Operational Mode: trunk/access

Принудительная настройка trunk (без DTP)

Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport nonegotiate

Пояснение:

  • switchport mode trunk — принудительный trunk-режим
  • switchport nonegotiate — отключает DTP (не отправляет и не принимает DTP фреймы)

Проверка DTP

Switch# show dtp interface fastEthernet 0/1

Вывод покажет:

  • Статус DTP (отправляются ли кадры)
  • Текущий режим

Проверка trunk

Switch# show interfaces trunk

Показывает:

  • Какие порты работают как trunk
  • Разрешённые VLAN
  • Нативная VLAN

Проверка состояния интерфейса

Switch# show interfaces FastEthernet0/1 switchport
  • Показывает режим интерфейса (access/trunk/dynamic)
  • Показывает административное и операционное состояние

Заключение

DTP — полезный инструмент автоматизации настройки trunk-соединений, но требует внимательности и контроля. Для безопасности сети важно:

  • Использовать static trunk или access, где возможно
  • Выключать DTP на не trunk-портах
  • Проверять режимы и состояние портов