Сравнение протоколов LLDP и CDP на сетевых устройствах Cisco

Протокол обнаружения канального уровня (LLDP) и Протокол обнаружения устройств Cisco (CDP) представляют собой протоколы обнаружения сети, выполняющие схожие задачи. Эти протоколы функционируют на уровне канала данных и применяются сетевыми устройствами для обнаружения информации о соседних устройствах, подключенных к локальной сети.

Несмотря на схожий принцип работы, LLDP и CDP различаются в плане стандартизации и функций, зависящих от производителя.

В данной статье расскажу про эти два протокола, их полезные особенности и уязвимости.


Протоколы обнаружения сети

Как LLDP, так и CDP применяются в коммутаторах, маршрутизаторах, брандмауэрах, IP-телефонах, точках доступа и многих других сетевых устройствах для поиска других устройств в том же сегменте сети и обмена информацией о самих устройствах.

Обмен информацией

Между такими устройствами возможен обмен обширным спектром информации во множестве категорий, включая:

  • Device Identification: Это охватывает информацию о названии устройства, его IP-адресе и, иногда, уникальном идентификаторе, например, MAC-адресе. Это способствует уникальной идентификации каждого устройства в сети.
  • Device Type: Данные о том, является ли устройство маршрутизатором, коммутатором, беспроводной точкой доступа, компьютером, принтером и так далее. Знание типа устройства упрощает понимание его функциональной роли в сети.
  • Port Information: Сведения о сетевых портах на устройстве, включая номера портов и их типы. Это важно для разбирательства, как устройства физически соединены и взаимодействуют в рамках сети.
  • Software and Firmware Versions: Сведения о работающей на устройстве операционной системе или прошивке. Это может иметь значение с позиции совместимости и обеспечения безопасности.
  • Device Capabilities: Сведения о характеристиках и возможностях устройства, таких как поддерживаемые сетевые протоколы, скорости и другие функциональные аспекты. Это способствует анализу возможностей всей сети.
  • VLAN Information: В случае устройств, таких как коммутаторы и маршрутизаторы, возможен обмен данными о конфигурациях VLAN. Это имеет значение для понимания и управления сегментацией сети и управления трафиком.
  • Power Settings: Для устройств, таких как IP-телефоны или точки доступа к беспроводной сети, возможен обмен данными о настройках PoE.

Коммуникация на втором уровне

Протоколы обнаружения сети функционируют на втором уровне модели OSI. Поэтому они способны обнаруживать соседние сетевые устройства, прямо подключенные к ним.

Для обмена данными эти протоколы применяют MAC-адреса, обеспечивая направленность и обработку сообщений соответствующими устройствами в рамках одного сегмента сети.

В отличие от протоколов, действующих на уровне 3, эти протоколы вовсе не привлекают IP для своей связи. Поэтому обнаружение устройств не включает в себя маршрутизацию и не может осуществляться через несколько локальных сетей или VLAN.

Структура сообщения

Как правило, протоколы обнаружения сети используют широковещательную или групповую рассылку на уровне 2 для обмена сообщениями. Широковещательная рассылка посылает сообщения всем устройствам в сегменте сети, в то время как групповая рассылка нацелена на определенную группу устройств. Этот тип связи ограничен одним широковещательным доменом.

Информация, передаваемая этими протоколами обнаружения на уровне 2, заключена в Ethernet-фреймах. Эти фреймы представляют собой структурированные пакеты данных, включающие в себя информацию протокола обнаружения, MAC-адреса отправителя и получателя, а также другую управляющую информацию, необходимую для коммуникации на уровне 2.

Протоколы обнаружения сети, по сути, устанавливают стандарты для типов сообщений, которые могут быть обменены между устройствами, и по этой причине устройства в данном случае должны поддерживать и быть настроенными на использование того же протокола обнаружения сети.

Link Layer Discovery Protocol (LLDP)

Протокол LLDP представляет собой открытый стандарт, описанный в IEEE 802.1AB. Он обеспечивает возможность для сетевых устройств различных производителей изучать информацию о личности, возможностях и других важных деталях друг друга.

Широкая совместимость делает протокол LLDP универсально применимым в различных сетевых средах. Он функционирует путем отправки блоков данных протокола LLDP (LLDPDU) непосредственно подключенным устройствам. В сложных сетях протокол LLDP особенно полезен для создания карты сети и устранения неполадок.

Протокол LLDP использует атрибуты, известные как TLV (Type, Length, and Value), что расшифровывается как Тип, Длина и Значение. Устройства, которые поддерживают протокол LLDP, обмениваются информацией с непосредственно подключенными соседями, используя эти TLV.

Примеры основных TLV включают:

  • Port Description TLV
  • System Name TLV
  • System Description TLV
  • System Capabilities TLV
  • Management Address TLV

Множество сетевых устройств, включая продукцию Cisco, поддерживают протокол LLDP. Благодаря многопроизводственному подходу он обеспечивает безпроблемную совместимость между сетевыми устройствами различных производителей, предоставляя сетевым администраторам большую гибкость при проектировании своих сетей.

Применение протокола LLDP на оборудовании Cisco

На оборудовании Cisco доступны команды show lldp neighbors и show lldp neighbors detail, которые позволяют отображать информацию о соседних сетевых устройствах. Приведенные ниже примеры демонстрируют сценарий использования на Cisco-коммутаторе, соединенном с другим коммутатором:

Из представленного выше вывода на коммутаторе Switch1 видно, что устройство Switch2 было обнаружено, а также отображаются интерфейсы на обоих устройствах, через которые осуществляется обнаружение. Чтобы получить более подробные сведения о данном соседе, используйте ключевое слово detail:

По представленному выше выводу вы мгновенно обнаружите дополнительную информацию о Switch2, включая версию программного обеспечения IOS, разнообразные возможности устройства, а также тип поддерживаемых медиа-возможностей (медные/оптические соединения).

Cisco Discovery Protocol (CDP)

Протокол CDP является собственной разработкой компании Cisco. Его спецификация предназначена исключительно для устройств Cisco, обеспечивая возможность обнаружения и изучения сведений о соседнем оборудовании Cisco.

Несмотря на то, что его цель схожа с LLDP в плане обнаружения устройств и создания карты сети, применение ограничено средами Cisco или в сетях, где устройства Cisco распространены.

Вопреки своему проприетарному характеру, благодаря влиянию Cisco на сферу сетевых технологий несколько производителей стороннего оборудования также внедрили применение протокола CDP для обеспечения более гармоничной совместимости с устройствами Cisco.

При помощи команд show cdp neighbors и show cdp neighbors detail вы можете получить информацию о найденных соседях. Приведенный ниже вывод представляет данные от маршрутизатора Cisco.

Отображаются интерфейсы, через которые был обнаружен Router2, а также можно заметить, что Router2 представляет собой маршрутизатор модели 3640. Чтобы получить дополнительные детали, используйте ключевое слово detail, например:

Данный вывод предоставляет более детальную информацию о удаленном маршрутизаторе.

Варианты использования и вопросы безопасности

Особенно полезным сценарием, при котором можно применять CDP и LLDP, является установка IP-телефонов. Эти протоколы обеспечивают возможность взаимодействия IP-телефона с коммутатором в отношении конфигураций, связанных с голосовыми виртуальными локальными сетями (VLAN) и требованиями к передаче электропитания по технологии Ethernet (PoE).

В Cisco IP-телефонах эта возможность реализована с использованием протокола CDP. Для расширения этой функциональности на не-Cisco телефонах было создано дополнение, известное как MED (Media Endpoint Discovery) для протокола LLDP, которое часто называется LLDP-MED.

Строго говоря, если протоколы обнаружения сети не требуются на конкретных интерфейсах, рекомендуется их отключить.

Протоколы CDP и LLDP могут предоставлять подробную информацию о сетевых устройствах, включая их типы, конфигурации и соединения.

В окружениях, где безопасность является высокоприоритетной, таких как сети, обрабатывающие конфиденциальные данные, часто целесообразно отключить эти протоколы для предотвращения возможности легкого картирования сети и выявления целей для потенциальных атакующих.

Сравнительная таблица протоколов LLDP и CDP

Приведенная ниже таблица дополнительно анализирует эти два протокола, подробно выявляя их сходства, различия и особенности.

ФункцииCDPLLDP
СтандартизацияПроприетарный CiscoIEEE Стандарт (802.1AB)
Совместимость с вендорамиПреимущественно устройства CiscoУниверсальная совместимость с многими производителями в отрасли
Основное использованиеВыявление сведений о устройствах Cisco, которые подключены напрямуюВыявление информации о устройствах от различных производителей, которые подключены напрямую
Передаваемая информацияИдентификатор устройства, идентификатор порта, функциональные возможности, версия программного обеспечения, тип платформы, IP-адрес, информация о VLAN и т.д.Идентификатор устройства, идентификатор порта, функциональные возможности, наименование системы, описание системы, возможности системы, management адрес и т.д.
Рабочий уровеньВторой уровень модели OSIВторой уровень модели OSI
Расширения протоколаОбеспечивает поддержку расширений, характерных для устройств CiscoПоддерживает LLDP-MED для улучшенного обнаружения сетевых устройств
БезопасностьМожет стать риском безопасности, если неудачно управляется из-за обширности предоставляемой информацииАналогично CDP, способен выявлять детали сети, поэтому необходимо корректное управление.
КонфигурацияПо умолчанию активирован на большинстве устройств Cisco, для определенных функций требуется настройкаНеобходимо включить и настроить на устройствах, не включен по умолчанию на всех устройствах
ПрименениеНаиболее подходит для сред с доминированием устройств CiscoПриспособлен для многообразных сетевых сред с использованием оборудования от различных производителей

Заключение

CDP и LLDP имеют ключевое значение при управлении, обслуживании и устранении неполадок в сетевой инфраструктуре, особенно в более крупных и сложных сетях.

Несмотря на то, что оба протокола выполняют схожие функции в обнаружении сети, различия в стандартизации, совместимости с производителями и определенных операционных деталях делают каждый из них более подходящим для разных сетевых сред.

CDP отлично подходит для сетей, ориентированных на Cisco, в то время как LLDP обеспечивает более широкую совместимость с устройствами различных производителей.

Скачивай видео, генерируй пароли и многое другое в боте EasyTools.
Скачивай видео, генерируй пароли через бота EasyTools.

Что будем искать? Например,Cisco