0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Давайте рассмотрим достаточно распространённую тему - протокол CDP. Что же о нём можно сказать, если о нём всё известно? Однако некоторые механизмы работы, позволяющие упростить работу сетевого инженера, знают не все. О них и поговорим.</p>
1
<p>Давайте рассмотрим достаточно распространённую тему - протокол CDP. Что же о нём можно сказать, если о нём всё известно? Однако некоторые механизмы работы, позволяющие упростить работу сетевого инженера, знают не все. О них и поговорим.</p>
2
<p>Протокол<strong>CPD</strong>(<strong>Cisco Discovery Protocol</strong>) - проприетарный протокол компании Cisco, работающий на 2 уровне модели OSI, который позволяет сетевым устройствам (и не только сетевым) анонсировать в сеть информацию о себе и принимать такие анонсы от своих соседей.</p>
2
<p>Протокол<strong>CPD</strong>(<strong>Cisco Discovery Protocol</strong>) - проприетарный протокол компании Cisco, работающий на 2 уровне модели OSI, который позволяет сетевым устройствам (и не только сетевым) анонсировать в сеть информацию о себе и принимать такие анонсы от своих соседей.</p>
3
<p>Протокол достаточно полезный, так как он может показать, что за устройство (версия ПО, номера портов, платформа и ещё много другой информации) подключено в сеть. Это может быть удобно для<strong>составления карты сети</strong>, ведения документации и<strong>мониторинга сети</strong>. Однако также это облегчает атаку на сеть. В связи с этим протокол CDP в большинстве случаев отключают.</p>
3
<p>Протокол достаточно полезный, так как он может показать, что за устройство (версия ПО, номера портов, платформа и ещё много другой информации) подключено в сеть. Это может быть удобно для<strong>составления карты сети</strong>, ведения документации и<strong>мониторинга сети</strong>. Однако также это облегчает атаку на сеть. В связи с этим протокол CDP в большинстве случаев отключают.</p>
4
<p>В интернете огромное количество информации по данному протоколу. Например, как посмотреть соседние устройства командой show cdp neighbors:</p>
4
<p>В интернете огромное количество информации по данному протоколу. Например, как посмотреть соседние устройства командой show cdp neighbors:</p>
5
<p>Как видим из вывода, видны<strong>description</strong>, порты, платформа соседнего устройства. Также можно посмотреть и более детальную информацию о соседнем устройстве с помощью show cdp neighbors detail:</p>
5
<p>Как видим из вывода, видны<strong>description</strong>, порты, платформа соседнего устройства. Также можно посмотреть и более детальную информацию о соседнем устройстве с помощью show cdp neighbors detail:</p>
6
<p>Тут уже видны и IP адреса и версия ПО, что достаточно удобно для документирования неизвестной сети.</p>
6
<p>Тут уже видны и IP адреса и версия ПО, что достаточно удобно для документирования неизвестной сети.</p>
7
<h2>Логика работы</h2>
7
<h2>Логика работы</h2>
8
<p>Логика работы протокола CDP достаточно простая и в общих чертах механизм работы следующий: 1. Устройство посылает<strong>multicast-сообщение</strong>на MAC-адрес 01:00:0C:CC:CC:CC (по умолчанию каждые 60 секунд на порты Ethernet). 2. Принимающее устройство сохраняет эти сообщения в CDP-таблицу. Если спустя 180 секунд (3 анонса CDP) устройство не прислало ни одного сообщения, - удаляется из базы CDP.</p>
8
<p>Логика работы протокола CDP достаточно простая и в общих чертах механизм работы следующий: 1. Устройство посылает<strong>multicast-сообщение</strong>на MAC-адрес 01:00:0C:CC:CC:CC (по умолчанию каждые 60 секунд на порты Ethernet). 2. Принимающее устройство сохраняет эти сообщения в CDP-таблицу. Если спустя 180 секунд (3 анонса CDP) устройство не прислало ни одного сообщения, - удаляется из базы CDP.</p>
9
<p>Однако несмотря на все минусы и плюсы протокола в качестве мониторинга за сетевым оборудованием, CDP имеет и дополнительные возможности для управления сетевыми устройствами.</p>
9
<p>Однако несмотря на все минусы и плюсы протокола в качестве мониторинга за сетевым оборудованием, CDP имеет и дополнительные возможности для управления сетевыми устройствами.</p>
10
<p>В CDP существует<strong>механизм объединения сетевых устройств в кластер</strong>, которым можно управлять с одного устройства -<strong>CDP Cluster</strong>.</p>
10
<p>В CDP существует<strong>механизм объединения сетевых устройств в кластер</strong>, которым можно управлять с одного устройства -<strong>CDP Cluster</strong>.</p>
11
<h2>Когда такой функционал может потребоваться?</h2>
11
<h2>Когда такой функционал может потребоваться?</h2>
12
<p>Например, вы случайно или не случайно потеряли доступ к оборудованию через ssh/telnet, а до устройства физически сложно добраться. В таком случае единственное что требуется - включенный протокол CDP.</p>
12
<p>Например, вы случайно или не случайно потеряли доступ к оборудованию через ssh/telnet, а до устройства физически сложно добраться. В таком случае единственное что требуется - включенный протокол CDP.</p>
13
<h2>Настройка</h2>
13
<h2>Настройка</h2>
14
<p>Настройку CDP cluster рассмотрим на коммутаторах 2960: 1. Заходим на доступный коммутатор и включаем CDP cluster:</p>
14
<p>Настройку CDP cluster рассмотрим на коммутаторах 2960: 1. Заходим на доступный коммутатор и включаем CDP cluster:</p>
15
SW1# configure terminal SW1(config)#cluster enable test<ol><li>Проверяем устройства в сети, которые можно подключить к настроенному кластеру:</li>
15
SW1# configure terminal SW1(config)#cluster enable test<ol><li>Проверяем устройства в сети, которые можно подключить к настроенному кластеру:</li>
16
</ol>SW2#show cluster candidates MAC Address Name Device Type PortIf FEC Hops SN PortIf FEC 0017.9510.d16a SW10 WS-C2960-24TT-L Gi0/24 1 0 Gi0/24<ol><li>Из предыдущего вывода берём MAC-адрес и добавляем удалённый коммутатор SW10 в CDP cluster.</li>
16
</ol>SW2#show cluster candidates MAC Address Name Device Type PortIf FEC Hops SN PortIf FEC 0017.9510.d16a SW10 WS-C2960-24TT-L Gi0/24 1 0 Gi0/24<ol><li>Из предыдущего вывода берём MAC-адрес и добавляем удалённый коммутатор SW10 в CDP cluster.</li>
17
</ol>SW1(config)#cluster member 1 mac-address 0017.9510.d16a password <Password><ol><li>Всё. Теперь можем подключиться к удалённому коммутатору командой SW1#rcommand 1. И попадаем на удалённый коммутатор SW10#. Теперь можно делать любые настройки, что могут потребоваться.</li>
17
</ol>SW1(config)#cluster member 1 mac-address 0017.9510.d16a password <Password><ol><li>Всё. Теперь можем подключиться к удалённому коммутатору командой SW1#rcommand 1. И попадаем на удалённый коммутатор SW10#. Теперь можно делать любые настройки, что могут потребоваться.</li>
18
</ol><p>Чтобы отключить кластер, необходимо удалить всех<strong>cluster member</strong>из него и только потом отключить сам кластер:</p>
18
</ol><p>Чтобы отключить кластер, необходимо удалить всех<strong>cluster member</strong>из него и только потом отключить сам кластер:</p>
19
SW1(config)#no cluster member 1 SW1 (config)#no cluster enable SW1 (config)#<p>Посмотреть кластер можно командой show cluster.</p>
19
SW1(config)#no cluster member 1 SW1 (config)#no cluster enable SW1 (config)#<p>Посмотреть кластер можно командой show cluster.</p>
20
<p>В итоге имеется полезный и удобный протокол для мониторинга и управления сети на устройствах Cisco, однако из-за отсутствия встроенных механизмов безопасности CDP может нести угрозу внутренней сети предприятия. Поэтому решение об использовании или отключении протокола принимать вам.</p>
20
<p>В итоге имеется полезный и удобный протокол для мониторинга и управления сети на устройствах Cisco, однако из-за отсутствия встроенных механизмов безопасности CDP может нести угрозу внутренней сети предприятия. Поэтому решение об использовании или отключении протокола принимать вам.</p>
21
21