Протокол обнаружения канального уровня (LLDP) и Протокол обнаружения устройств Cisco (CDP) представляют собой протоколы обнаружения сети, выполняющие схожие задачи. Эти протоколы функционируют на уровне канала данных и применяются сетевыми устройствами для обнаружения информации о соседних устройствах, подключенных к локальной сети.
Несмотря на схожий принцип работы, LLDP и CDP различаются в плане стандартизации и функций, зависящих от производителя.
В данной статье расскажу про эти два протокола, их полезные особенности и уязвимости.
Содержание
Протоколы обнаружения сети
Как LLDP, так и CDP применяются в коммутаторах, маршрутизаторах, брандмауэрах, IP-телефонах, точках доступа и многих других сетевых устройствах для поиска других устройств в том же сегменте сети и обмена информацией о самих устройствах.
Обмен информацией
Между такими устройствами возможен обмен обширным спектром информации во множестве категорий, включая:
- Device Identification: Это охватывает информацию о названии устройства, его IP-адресе и, иногда, уникальном идентификаторе, например, MAC-адресе. Это способствует уникальной идентификации каждого устройства в сети.
- Device Type: Данные о том, является ли устройство маршрутизатором, коммутатором, беспроводной точкой доступа, компьютером, принтером и так далее. Знание типа устройства упрощает понимание его функциональной роли в сети.
- Port Information: Сведения о сетевых портах на устройстве, включая номера портов и их типы. Это важно для разбирательства, как устройства физически соединены и взаимодействуют в рамках сети.
- Software and Firmware Versions: Сведения о работающей на устройстве операционной системе или прошивке. Это может иметь значение с позиции совместимости и обеспечения безопасности.
- Device Capabilities: Сведения о характеристиках и возможностях устройства, таких как поддерживаемые сетевые протоколы, скорости и другие функциональные аспекты. Это способствует анализу возможностей всей сети.
- VLAN Information: В случае устройств, таких как коммутаторы и маршрутизаторы, возможен обмен данными о конфигурациях VLAN. Это имеет значение для понимания и управления сегментацией сети и управления трафиком.
- Power Settings: Для устройств, таких как IP-телефоны или точки доступа к беспроводной сети, возможен обмен данными о настройках PoE.
Коммуникация на втором уровне
Протоколы обнаружения сети функционируют на втором уровне модели OSI. Поэтому они способны обнаруживать соседние сетевые устройства, прямо подключенные к ним.
Для обмена данными эти протоколы применяют MAC-адреса, обеспечивая направленность и обработку сообщений соответствующими устройствами в рамках одного сегмента сети.
В отличие от протоколов, действующих на уровне 3, эти протоколы вовсе не привлекают IP для своей связи. Поэтому обнаружение устройств не включает в себя маршрутизацию и не может осуществляться через несколько локальных сетей или VLAN.
Структура сообщения
Как правило, протоколы обнаружения сети используют широковещательную или групповую рассылку на уровне 2 для обмена сообщениями. Широковещательная рассылка посылает сообщения всем устройствам в сегменте сети, в то время как групповая рассылка нацелена на определенную группу устройств. Этот тип связи ограничен одним широковещательным доменом.
Информация, передаваемая этими протоколами обнаружения на уровне 2, заключена в Ethernet-фреймах. Эти фреймы представляют собой структурированные пакеты данных, включающие в себя информацию протокола обнаружения, MAC-адреса отправителя и получателя, а также другую управляющую информацию, необходимую для коммуникации на уровне 2.
Протоколы обнаружения сети, по сути, устанавливают стандарты для типов сообщений, которые могут быть обменены между устройствами, и по этой причине устройства в данном случае должны поддерживать и быть настроенными на использование того же протокола обнаружения сети.
Link Layer Discovery Protocol (LLDP)
Протокол LLDP представляет собой открытый стандарт, описанный в IEEE 802.1AB. Он обеспечивает возможность для сетевых устройств различных производителей изучать информацию о личности, возможностях и других важных деталях друг друга.
Широкая совместимость делает протокол LLDP универсально применимым в различных сетевых средах. Он функционирует путем отправки блоков данных протокола LLDP (LLDPDU) непосредственно подключенным устройствам. В сложных сетях протокол LLDP особенно полезен для создания карты сети и устранения неполадок.
Протокол LLDP использует атрибуты, известные как TLV (Type, Length, and Value), что расшифровывается как Тип, Длина и Значение. Устройства, которые поддерживают протокол LLDP, обмениваются информацией с непосредственно подключенными соседями, используя эти TLV.
Примеры основных TLV включают:
- Port Description TLV
- System Name TLV
- System Description TLV
- System Capabilities TLV
- Management Address TLV
Множество сетевых устройств, включая продукцию Cisco, поддерживают протокол LLDP. Благодаря многопроизводственному подходу он обеспечивает безпроблемную совместимость между сетевыми устройствами различных производителей, предоставляя сетевым администраторам большую гибкость при проектировании своих сетей.
Применение протокола LLDP на оборудовании Cisco
На оборудовании Cisco доступны команды show lldp neighbors и show lldp neighbors detail, которые позволяют отображать информацию о соседних сетевых устройствах. Приведенные ниже примеры демонстрируют сценарий использования на Cisco-коммутаторе, соединенном с другим коммутатором:
Switch1# show lldp neighbors
Capability codes:
(R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
(W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID Local Intf Hold-time Capability Port ID
Switch2 Fa0/1 120 B Fa0/2
Total entries displayed: 1
Из представленного выше вывода на коммутаторе Switch1 видно, что устройство Switch2 было обнаружено, а также отображаются интерфейсы на обоих устройствах, через которые осуществляется обнаружение. Чтобы получить более подробные сведения о данном соседе, используйте ключевое слово detail:
Switch1# show lldp neighbors detail
Chassis id: 0012.bb0b.fb13
Port id: Fa0/2
Port Description: Connection to Switch1
System Name: Switch2.cisco.com
System Description:
Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(46)SE, RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Thu 22-Aug-09 16:21
Time remaining: 77 seconds
System Capabilities: B,R
Enabled Capabilities: B
Management Addresses – not advertised
Auto Negotiation – supported, enabled
Physical media capabilities:
100base-TX(FD)
100base-TX(HD)
10base-T(FD)
10base-T(HD)
Media Attachment Unit type: 16
По представленному выше выводу вы мгновенно обнаружите дополнительную информацию о Switch2, включая версию программного обеспечения IOS, разнообразные возможности устройства, а также тип поддерживаемых медиа-возможностей (медные/оптические соединения).
Cisco Discovery Protocol (CDP)
Протокол CDP является собственной разработкой компании Cisco. Его спецификация предназначена исключительно для устройств Cisco, обеспечивая возможность обнаружения и изучения сведений о соседнем оборудовании Cisco.
Несмотря на то, что его цель схожа с LLDP в плане обнаружения устройств и создания карты сети, применение ограничено средами Cisco или в сетях, где устройства Cisco распространены.
Вопреки своему проприетарному характеру, благодаря влиянию Cisco на сферу сетевых технологий несколько производителей стороннего оборудования также внедрили применение протокола CDP для обеспечения более гармоничной совместимости с устройствами Cisco.
При помощи команд show cdp neighbors и show cdp neighbors detail вы можете получить информацию о найденных соседях. Приведенный ниже вывод представляет данные от маршрутизатора Cisco.
Router1# show cdp neighbors
Capability Codes: R – Router, T – Trans Bridge, B – Source Route Bridge
S – Switch, H – Host, I – IGMP, r – Repeater
Device ID Local Intrfce Holdtme Capability Platform Port ID
Router2 Ser 0/0 147 R S I 3640 Ser 0/1
Отображаются интерфейсы, через которые был обнаружен Router2, а также можно заметить, что Router2 представляет собой маршрутизатор модели 3640. Чтобы получить дополнительные детали, используйте ключевое слово detail, например:
RouterA# show cdp neighbors detail
————————-
Device ID: Router2
Entry address(es):
IP address: 192.168.1.20
Platform: Cisco 3640, Capabilities: Router Switch IGMP
Interface: Serial0/0, Port ID (outgoing port): Serial0/1
Holdtime : 102 sec
Version :
Cisco IOS Software, 3600 Software (C3640-JK9O3S-M), Version 12.4(16), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 22-Jun-09 12:56
Данный вывод предоставляет более детальную информацию о удаленном маршрутизаторе.
Варианты использования и вопросы безопасности
Особенно полезным сценарием, при котором можно применять CDP и LLDP, является установка IP-телефонов. Эти протоколы обеспечивают возможность взаимодействия IP-телефона с коммутатором в отношении конфигураций, связанных с голосовыми виртуальными локальными сетями (VLAN) и требованиями к передаче электропитания по технологии Ethernet (PoE).
В Cisco IP-телефонах эта возможность реализована с использованием протокола CDP. Для расширения этой функциональности на не-Cisco телефонах было создано дополнение, известное как MED (Media Endpoint Discovery) для протокола LLDP, которое часто называется LLDP-MED.
Строго говоря, если протоколы обнаружения сети не требуются на конкретных интерфейсах, рекомендуется их отключить.
Протоколы CDP и LLDP могут предоставлять подробную информацию о сетевых устройствах, включая их типы, конфигурации и соединения.
В окружениях, где безопасность является высокоприоритетной, таких как сети, обрабатывающие конфиденциальные данные, часто целесообразно отключить эти протоколы для предотвращения возможности легкого картирования сети и выявления целей для потенциальных атакующих.
Сравнительная таблица протоколов LLDP и CDP
Приведенная ниже таблица дополнительно анализирует эти два протокола, подробно выявляя их сходства, различия и особенности.
Функции | CDP | LLDP |
Стандартизация | Проприетарный Cisco | IEEE Стандарт (802.1AB) |
Совместимость с вендорами | Преимущественно устройства Cisco | Универсальная совместимость с многими производителями в отрасли |
Основное использование | Выявление сведений о устройствах Cisco, которые подключены напрямую | Выявление информации о устройствах от различных производителей, которые подключены напрямую |
Передаваемая информация | Идентификатор устройства, идентификатор порта, функциональные возможности, версия программного обеспечения, тип платформы, IP-адрес, информация о VLAN и т.д. | Идентификатор устройства, идентификатор порта, функциональные возможности, наименование системы, описание системы, возможности системы, management адрес и т.д. |
Рабочий уровень | Второй уровень модели OSI | Второй уровень модели OSI |
Расширения протокола | Обеспечивает поддержку расширений, характерных для устройств Cisco | Поддерживает LLDP-MED для улучшенного обнаружения сетевых устройств |
Безопасность | Может стать риском безопасности, если неудачно управляется из-за обширности предоставляемой информации | Аналогично CDP, способен выявлять детали сети, поэтому необходимо корректное управление. |
Конфигурация | По умолчанию активирован на большинстве устройств Cisco, для определенных функций требуется настройка | Необходимо включить и настроить на устройствах, не включен по умолчанию на всех устройствах |
Применение | Наиболее подходит для сред с доминированием устройств Cisco | Приспособлен для многообразных сетевых сред с использованием оборудования от различных производителей |
Заключение
CDP и LLDP имеют ключевое значение при управлении, обслуживании и устранении неполадок в сетевой инфраструктуре, особенно в более крупных и сложных сетях.
Несмотря на то, что оба протокола выполняют схожие функции в обнаружении сети, различия в стандартизации, совместимости с производителями и определенных операционных деталях делают каждый из них более подходящим для разных сетевых сред.
CDP отлично подходит для сетей, ориентированных на Cisco, в то время как LLDP обеспечивает более широкую совместимость с устройствами различных производителей.