CDP (англ. Cisco Discovery Protocol) — закритий протокол другого рівня, розроблений компанією Cisco Systems, що дозволяє виявляти підключене (безпосередньо або через пристрої першого рівня) мережеве обладнання Cisco, його назву, версію IOS і IP-адреси. Підтримується багатьма пристроями компанії, майже не підтримується сторонніми виробниками.
Одержувана інформація включає в себе типи підключених пристроїв, інтерфейси пристроїв, до яких підключені сусідні пристрої, інтерфейси, що використовуються для створення з'єднань, а також моделі пристроїв.
Технічний опис
Пристрій посилає мультикаст-анонс (advertisement) на MAC-адресу 01-00-0c-cc-cc-cc. У конфігурації за замовчуванням анонси розсилаються кожні 60 секунд на порти Ethernet, Frame Relay і ATM. Кожен пристрій, який розуміє анонси, зберігає отриману інформацію у CDP-таблиці і дозволяє подивитися її за командою show cdp neighbors
, і більш детально по команді show cdp entry пристрій
. Якщо пристрій тричі не надіслав анонс (при значеннях за замовчуванням — 3 хвилини (180 секунд)), він видаляється з таблиці.
В анонсах також міститься інформація про час життя пакету (Time To Live — TTL) або часу утримання інформації (holdtime). Останній параметр визначає час, протягом якого зберігатиметься CDP інформація, перш ніж вона буде знищена.
Протокол працює на канальному рівні і дозволяє двом системам отримати інформацію один про одного навіть у тому випадку, якщо вони використовують різні протоколи мережного рівня.
Протокол CDP забезпечує отримання інформації про кожному сусідньому пристрої шляхом передачі інформації у форматі TLV (Type Length Value — запис тип — довжина — значення). Записи TLV — це блоки інформації, впроваджені в CDP анонси.
Значення TLV конкретного пристрою включають в себе таку інформацію:
- Ідентифікатор пристрою;
- Номер і тип локального інтерфейсу;
- Час утримання інформації (час, по закінченню якого запису з CDP-таблиці видаляються);
- Тип пристрою (маршрутизатор, комутатор мережевий міст і т.д.);
- Фізичну платформу пристрою (модель підключеного пристрою, наприклад, Сіѕсо 2961);
- Номер і тип віддаленого інтерфейсу;
- Доменне ім'я VTP (тільки у випадку використання протоколу CDPv2);
- Номер власної мережі VLAN (тільки у випадку використання протоколу CDPv2);
- Інформацію про дуплексності з'єднання (тільки у випадку використання протоколу CDPv2).
Безпека
Керівництва з безпеки вимагають відключення протоколу CDP на інтерфейсах, що виходять за захищений периметр, так як інформація, що передається (наприклад, версія IOS) може використовуватися для підготовки атаки через уразливість конкретної версії IOS. Вимикання проводиться командою no cdp run
глобально, no cdp enable
для інтерфейсу.
Джерела
Посилання
Дивись також
- LLDP — незалежний від виробника протокол другого рівня для виявлення пристроїв