le Dynamic Trunking Protocol, c'est quoi ?
Le Dynamic Trunking Protocol (DTP) est un protocole développé par CISCO. Je ne connais pas d’équivalent normalisé. Le DTP, comme son nom l’indique, permet par exemple de former un trunk dynamique sur une interface configurée en accès. Dans une optique « plug and play », un réseau de switches doit marcher dès qu’on les branche. Le DTP est donc activé par défaut.
prenons un cas concret:
Supposons le cas suivant: une interface LAN configurée avec le strict minimum, comme suit :
switchport access vlan 10.
Gaston prend le switch de secours dans la réserve et configure une interface comme cela :
switchport mode trunk.
Maintenant, Gaston branche son interface sur le LAN … Et la magie de DTP opère.
Abracadabra, l’humble et modeste interface "access" sur le LAN devient un beau trunk !!!
Par défaut, un trunk laisse passer tous les VLANs (encore le « plug and play »).
Toujours par défaut, trois protocoles très bavards sont aussi actifs, nous le verrons plus tard...
Connaissant la créativité débordante de Gaston, à n’en pas douter, après la phase « Plug », qui sait ce qu’il va faire dans la phase « Play » …
Alors là, c’est plus qu’une faille de sécurité; c’est une gorge, que dis-je, un canyon, non, c’est une fosse océanique !!!
RONTUDJU !!!
IL FAUT DESACTIVER LE DTP SUR TOUTES LES INTERFACES :
SWITCHPORT NONEGOTIATE
Sur un port access :
switchport mode access
switchport nonegociate
Sur un port trunk :
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
Cerise sur le gâteau, sans DTP, l’interface monte plus vite parce qu’il n’est plus nécessaire d’attendre que le DTP ait fait sa négociation (environ 2 secondes).
VOUS ETES MAINTENANT PREVENUS, CORRIGEZ VITE VOS CONFIGURATIONS !
Vos remarques, questions et autres interventions sont les bienvenues.
Pascal BONNARD
les articles de la série "Ethernet" :
Ethernet, un niveau à ne pas négliger
Les attaques « classiques » : interception de trafic, dénis de service
A éliminer d’urgence : DTP
Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres
Les VLANs pour les Nuls : VTP / MRP
Les boucles et les tempêtes : STP et comment s’en dispenser
L’art d’en dire trop : CDP et LLDP
Incroyable, mais vrai : CTP loopback
A utiliser sans (trop) d’ illusions : LAG (PaGP, LACP)
Conclusion, la configuration ultime pour mes switches
© INFINITY - Fotolia.com
Depuis 2004, je m’occupe d'ingénierie de commutateurs Ethernet (switches en anglais). Comme je suis curieux de nature, j'ai voulu savoir ce qu'il y avait sous le capot ... et c'est là que j'ai vu tous ces protocoles qui ne nous veulent que du bien, mais qui posent d'inévitables questions de sécurité. Sont-ils fiables ? Peuvent-ils être trompés ? Il me semble que ce domaine est peu documenté, et que les informations disponibles sont souvent incomplètes, parfois erronées. Je désire vous faire partager mes connaissances qui s'appuient sur des tests en laboratoire ainsi que sur plusieurs centaines de machines opérationnelles.