שלום אסי,
תודה על שאלתך!
אכן, על פי תוכנית הלימודים החדשה שפורסמה בשנת תשע"ז, ישנה דרישה מהתלמידים להכיר ולדעת מהו פרוטוקול DTP. צריך לדעת על מצבי ה- Trunkים השונים ומהן הסכנות שבפרוטוקול זה.
לשאלתך:
פרוטוקול DTP הוא פרוטוקול שפותח ע"י סיסקו ורכיבי סיסקו משתמשים בו כברירת מחדל. ראשי התיבות הן: Dynamic Trunking Protocol, הפרוטוקול נועד כדי לנהל משא ומתן לגבי האם פורט מסויים יהיה במצב Trunk או לא.
[להזכירך: מצב Trunk הוא מצב של פורט, שבו הפורט יכול לקבל מסגרת (מידע) השייכת ליותר מ-Vlan אחד, זאת ע"י תיוג המסגרת].
DTP הוא פרוטוקול ששולח הודעות עדכון לגבי מצבי Trunkים באופן אוטומטי.
כך שלמשל: אם נניח יש לנו שני סוויצ'ים - סוויץ' A ו- סוויץ' B, ושניהם מחוברים בכבל מוצלב בינהם (בפורטים fa0/24 אצל כל אחד) אז אם פורט fa0/24 של סוויץ' A מוגדר על מצב הנקרא Dynamic Auto, ואילו פורט fa0/24 של סוויץ' B הנמצא בצד השני של הכבל מוגדר על מצב Trunk, יהיה ביניהם יחסים של Trunk. - זאת מכיון שסוויץ' B המוגדר כ- Trunk שולח הודעת עדכון - DTP לסוויץ' A, והרי סוויץ' A הוא במצב של Dynamic Auto וזה אומר שהוא מוכן להיות Trunk כל עוד הצד השני Trunk.
ישנם 4 מצבים של Trunk -
- מצב Access - מצב שבו אנו כופים על הפורט שלנו להיות במצב Access (כלומר מצב המקבל רק Vlan אחד בלבד - ההיפך מ- Trunk אם תרצו).
- מצב Trunk - מצב שבו אנו כופים על הפורט שלנו להיות במצב Trunk.
- מצב Dynamic Desirable - מצב שבו אנו מכניסים את הפורט שלנו למצב Trunk וגם גורמים לו להיות פעיל בלהפוך את הצד השני ל- Trunk - הוא יוזם את יצירת קשר ה- Trunk ושולח הודעות DTP כדי ליזום זאת.
- מצב Dynamic Auto - מצב שבו אנו מכניסים את הפורט שלנו למצב שבו הוא מקשיב לצד השני, אם הצד השני יהיה Trunk אז גם הוא יהפוך ל- Trunk.
- מצב ללא משא ומתן - מצב שבו פרוטוקול DTP מבוטל, והכל הולך לפי הגדרות ידניות שלנו אם מכניסים את הפורט ל- Access או ל- Trunk
לפי מצבים אלו אנו יכולים לקבוע האם יהיה יחסי Trunk בין שני סוויצ'ים או לא.
מתי יהיו יחסי Trunk ומתי לא?
- אם צד אחד Trunk, אז אם הצד השני הוא: Trunk, Dynamic Desirable או Dynamic Auto יש יחסי Trunk.
- אם צד אחד Dynamic Desirable, זה מתנהג כמו Trunk.
- אם צד אחד Dynamic Auto, אז אם הצד השני הוא: Trunk או Dynamic Disrable יש יחסי Trunk.
- אם צד אחד Access, אין יחסי Trunk בכל מקרה.
מה הסכנות ב- DTP?
מהו מצב ברירת המחדל של פורט? - מצב ברירת המחדל של פורט הוא שגם פרוטוקול DTP פועל וגם שמצב הפורט הוא Dynamic Auto - אז מה קורה כאשר מגדירים בפורט של הסוויץ' שבצד השני מצב Trunk? - מיד מתקיים Trunk - מכיון שהצד הראשון - הוא Dynamic Auto.
עכשיו תארו לכם שמגיע האקר או משתמש לא מורשה ומתחבר לסוויץ' של הארגון שלנו - מצב ברירת המחדל נשאר Dynamic Auto, הוא מגדיר אצלו בפורט מצב Trunk או מצב Dynamic Desirable ולמעשה - כעת מצליח להגדיר יחסי Trunk - ולקבל את כל המסגרות של הארגון! - זוהי פרצת אבטחה.
לכן כדי לסגור פרצה זו יש להגדיר כל פורט באופן ידני - אם רוצים שיהיה Trunk אז להגדיר טראנק או רוצים שיהיה Access אז להגדיר Access - ולא להשאיר את הפורטים על מצב ברירת המחדל.
אפשרות נוספת היא לכבות כליל את פרוטקול DTP - כדי לכבות אותו יש לכתוב את הפקודה:
Switch(config-if)# switchport nonegotiate
את ההגדרות השונות של המצבים, ניתן לבצע ע"י הפקודות:
switch(config-if)#switchport mode access
switch(config-if)#switchport mode trunk
switch(config-if)#switchport mode dynamic desirable
switch(config-if)#switchport mode dynamic auto
אני מקוה שזה מובן ומספיק מקיף,
שיהיה בהצלחה רבה
