思科动态中继协议 DTP,是 VLAN 组中思科所有协议,主要用于协商两台设备间链路上的中继过程以及中继封装 802.1Q 类型。 DTP是cisco专有的协议,它只能用于交换机之间建立trunk链路,并且每隔30s发送DTP帧。
DTP采用协商的方式来决定是否将接口配置为Trunk,在需要使用Trunk链路时,通常是手工静态配置接口模式,并且手工指定Trunk封装协议。
当交换机与交换机的接口相连时,多数都需要配置为Trunk模式;交换机连接主机时,都需要配置为access模式。
中继协议有很多不同类型。如果端口被设置为 Trunk 端口,那么该端口便具有自动中继功能,在某些情况下,甚至具有协商端口中继类型的功能。这种与其它设备之间进行的协商中继方法的过程被称之为动态中继技术。
首先,中继链路两端最好都能理解它们是中继端口,否则它们将中继帧视为正常帧。终端工作站无法理解信息帧头里另外添加的标签信息,其驱动程序也无法识别该标签信息,从而导致终端系统锁定或当机。为解决这个问题,思科推出了用于交换机的协议以实现通信目的。推出的第一版本是 VTP,即 VLAN 中继协议,它与 ISL 共同工作。最新推出的版本,即动态中继协议 (DTP),也可与 802.1q 共同工作。
可配置的接口模式有五种:
1、ON
手工静态配置为Trunk,并且还会向对方主动发起DTP信息,要求对方也工作在Trunk模式,无论对方邻居在什么模式,自己永远工作在Trunk模式。
2、Desirable
此模式为DTP主动模式,工作在此模式的接口会主动向对方发起DTP信息,要求对方也工作在Trunk模式,如果对方回复同意工作在Trunk模式,则工作在Trunk模式,如果没有DTP回复,则工作在access模式。
3、Auto
此模式为DTP被动模式,工作在此模式的接口不会主动发起DTP信息,只会等待对方主动发起DTP信息,如果收到对方的DTP信息要求工作在Trunk模式,则自己回复对方同意工作在Trunk模式,最后的模式为Trunk,如果DTP被动模式收不到DTP要求工作在Trunk的信息,则工作在access模式。
4、nonegotiate
停止DTP协商,就是禁止协商模式,端口只允许处于一种状态要么是access,要么是trunk
换句话说,如果一端端口启用了不协商模式为trunk 另外一端为自适应 那么就不能通信了。
5、access
为Access模式,用来连接用户电脑的一种模式,只用于接入链路。例如:当一个端口属于vlan 10时,那么带着vlan 10的数据帧会被发送到交换机这个端口上。
注意事项:
1、开启DTP协商的双方都必须在相同的VTP域内,否则协商不会成功。
2、交换机的型号不同,默认的DTP模式会有所不同。
3、手工将接口配置成Trunk模式后,可以关闭DTP信息以节省网络资源。
4、如果双方都手动配置了Trunk,即使域名不一致,也可以建立Trunk。
DTP攻击:
DTP利用第二层中继帧,在两台交换机的直连端口之间进行通信。DTP报文仅限于两个直连端口之间的通信,维护两个直连端口的链路类型和以太网封装类型。如果交换机开启了DTP协议,攻击者假冒交换机向目标交换机发送Dynamic desirable数据包,那么会把目标端口变成Trunking端口,这意味着我们可以通过修改本机配置进入任何一个VLAN,同时可以VLAN跳跃攻击方式,从而监听所有数据。