sábado, 23 de junio de 2012

Protocolo DTP

 Recuerden que "La única fuente del conocimiento es la experiencia".

Introducción

DTP permite a dos equipos conectados establecer un enlace troncal entre ellos de una manera automatica.

Muchas de las personas no entienden mucho acerca de este protocolo, en mi concepto personal y profesional es uno de los PROBLEMAS DE SEGURIDAD más grandes a los que se enfrentan los administradores de red que no entienden las desventajas de dejar sus puertos con configuraciones por defecto.

Considero que CISCO crea protocolos que le pueden ayudar a los administradores en distintas situaciones, como es el caso de DTP,  pero de la falta de experticia de nosotros nacen vulnerabilidades en nuestra red que pueden afectar gravemente el optimo desempeño de la red.

Desventajas:
  • Crea automaticamente un enlace troncal al conectar dos switch CISCO
Si permito que cada vez que conecten un switch a mi topologia se convierta en troncal, estoy abriendo la posibilidad de un ataque, recuerden que sobre un puerto troncal por defecto se transporta el trafico de todas las vlan, y si este es un switch atacante le estoy entregando de una vez la posibilidad de adquirir información que podría ser sensible para la compañía.

Otra desventaja de que se cree el troncal automaticamente es que estoy permitiendo que las publicaciones VTP pasen por este y VTP tiene grandes problemas de seguridad asociados. (Leer VTP)

Ventajas:
  • Me ahorra el trabajo de configurar el enlace troncal entre los switch.
Comentario de Ventajas y desventajas.

Considero que son mayores las desventajas a la funcionalidad del protocolo, pero nos toca aprender a convivir con el ya que viene por defecto configurado en la gran mayoría de switch CISCO como se muestra en la tabla.

Platform DTP
Catalyst 6500/6000 (CatOS) Yes
Catalyst 6500/6000 (Cisco IOS® Software) Yes
Catalyst 5500/5000 Yes
Catalyst 4500/4000 (CatOS), which includes 2948G/2980G/4912G Yes
Catalyst 4500/4006 (Cisco IOS Software) Yes
Catalyst 3750 Yes
Catalyst 3560/3550 Yes
Catalyst 2970 Yes
Catalyst 2950/2955 Yes
Catalyst 2940 Yes
Catalyst 2900XL/3500XL No
Catalyst 2948G-L3/4908G-L3/4840G No
Catalyst 3000 Yes
Catalyst 1900/2800 Yes
Catalyst 8500 No

Funcionamiento de DTP

Dentro de la literatura que he consultado y en mi experiencia me he dado cuenta que cuando uno compra un switch, el por defecto en cada uno de sus puertos trae alguna de estas dos configuraciones:
  1. Dynamic Auto.
  2. Dynamic Desirable.
Dynamic Auto:

Es un estado del puerto donde esta dispuesto a negociar la configuración del troncal.
Pero el no propone ser troncal, solo responde a mensajes DTP

Dynamic Desirable:

Es un estado del puerto donde esta dispuesto a negociar la configuración del troncal.
El envia mensajes DTP para ser troncal.

Conexiones:



Pero DTP adicionalmente es capas de correr con las configuraciones manuales de los puertos que son:
  1. Switchport mode trunk  =  ON.
  2. Switchport mode access.
El comando switchport mode trunk obliga al puerto a correr en modo troncal, pero no evita que pueda entrar en negociaciones de DTP.

El comando switchport mode access obliga al puerto a ser de acceso, pero no evita que pueda entrar en negociaciones de DTP.




En la siguiente tabla se resumen las posibles combinaciones de negociación con DTP.


Deshabilitar DTP

Es muy sencillo, lo primero que debes hacer es entrar al puerto - luego obligarlo a ser troncal o de acceso - y por ultimo deshabilitarle los mensajes DTP

config)#interface f0/1
config-if)#switchport mode trunk
config-if)#switchport nonegotiate

Muchas gracias por leer nuestro blog, espero sus comentarios.

¿Saben el factor de decision que toma CISCO para configurar un switch por defecto en Dynamic Auto o desirable?

Si quieres aprender más, o quieres realizar unos excelentes laboratorios te esperamos..... animate!!!!!

www.networksgc.com

o siguenos en facebook.

http://www.facebook.com/goldencross1

La enseñanza debería ser tal que permitiese percibir lo que se ofrece como un regalo valioso y no como un duro deber.
Albert Einstein

jueves, 21 de junio de 2012

Networks Golden Cross, es una empresa dedicada al entrenamiento de ingenieros en tecnologías CISCO para que logren aprobar su examen de certificación.


Contamos con un método ÚNICO que le permitirá al alumno entender TIPS para aprobar su examen de certificacion.

Los esperamos....

http://www.networksgc.com/index.php/contacto#b7