思科動態中繼協議 DTP,是 VLAN 組中思科所有協議,主要用於協商兩臺設備間鏈路上的中繼過程以及中繼封裝 802.1Q 類型。 DTP是cisco專有的協議,它只能用於交換機之間建立trunk鏈路,並且每隔30s發送DTP幀。
DTP採用協商的方式來決定是否將接口配置爲Trunk,在需要使用Trunk鏈路時,通常是手工靜態配置接口模式,並且手工指定Trunk封裝協議。
當交換機與交換機的接口相連時,多數都需要配置爲Trunk模式;交換機連接主機時,都需要配置爲access模式。
中繼協議有很多不同類型。如果端口被設置爲 Trunk 端口,那麼該端口便具有自動中繼功能,在某些情況下,甚至具有協商端口中繼類型的功能。這種與其它設備之間進行的協商中繼方法的過程被稱之爲動態中繼技術。
首先,中繼鏈路兩端最好都能理解它們是中繼端口,否則它們將中繼幀視爲正常幀。終端工作站無法理解信息幀頭裏另外添加的標籤信息,其驅動程序也無法識別該標籤信息,從而導致終端系統鎖定或當機。爲解決這個問題,思科推出了用於交換機的協議以實現通信目的。推出的第一版本是 VTP,即 VLAN 中繼協議,它與 ISL 共同工作。最新推出的版本,即動態中繼協議 (DTP),也可與 802.1q 共同工作。
可配置的接口模式有五種:
1、ON
手工靜態配置爲Trunk,並且還會向對方主動發起DTP信息,要求對方也工作在Trunk模式,無論對方鄰居在什麼模式,自己永遠工作在Trunk模式。
2、Desirable
此模式爲DTP主動模式,工作在此模式的接口會主動向對方發起DTP信息,要求對方也工作在Trunk模式,如果對方回覆同意工作在Trunk模式,則工作在Trunk模式,如果沒有DTP回覆,則工作在access模式。
3、Auto
此模式爲DTP被動模式,工作在此模式的接口不會主動發起DTP信息,只會等待對方主動發起DTP信息,如果收到對方的DTP信息要求工作在Trunk模式,則自己回覆對方同意工作在Trunk模式,最後的模式爲Trunk,如果DTP被動模式收不到DTP要求工作在Trunk的信息,則工作在access模式。
4、nonegotiate
停止DTP協商,就是禁止協商模式,端口只允許處於一種狀態要麼是access,要麼是trunk
換句話說,如果一端端口啓用了不協商模式爲trunk 另外一端爲自適應 那麼就不能通信了。
5、access
爲Access模式,用來連接用戶電腦的一種模式,只用於接入鏈路。例如:當一個端口屬於vlan 10時,那麼帶着vlan 10的數據幀會被髮送到交換機這個端口上。
注意事項:
1、開啓DTP協商的雙方都必須在相同的VTP域內,否則協商不會成功。
2、交換機的型號不同,默認的DTP模式會有所不同。
3、手工將接口配置成Trunk模式後,可以關閉DTP信息以節省網絡資源。
4、如果雙方都手動配置了Trunk,即使域名不一致,也可以建立Trunk。
DTP攻擊:
DTP利用第二層中繼幀,在兩臺交換機的直連端口之間進行通信。DTP報文僅限於兩個直連端口之間的通信,維護兩個直連端口的鏈路類型和以太網封裝類型。如果交換機開啓了DTP協議,攻擊者假冒交換機向目標交換機發送Dynamic desirable數據包,那麼會把目標端口變成Trunking端口,這意味着我們可以通過修改本機配置進入任何一個VLAN,同時可以VLAN跳躍攻擊方式,從而監聽所有數據。