思科自家設備專用的CDP網路協定,可以讓該公司出品的網路產品更容易管理,但有利必有弊,因此本文將說明如何使用CDP協定的相關指令來增進管理效率,並同時避免不肖使用者藉此攻擊Cisco網路設備。
開啟或關閉CDP協定的指令
CDP協定也允許存取不同種類的資訊,可以設定要擷取多麼詳細的資訊內容。剛才提到,各個介面上的CDP預設是開啟的,但是Frame Relay Multipoint
Sub-Interfaces除外,針對這個子介面,後面會有詳細的說明。
若要防止其他支援CDP協定的設備來存取某個設備,可以使用以下這個指令:
上面這個指令會關閉整台設備所有介面的CDP協定,若只要關閉某個介面的CDP協定,可以改用以下的指令:
相反地,若要重新開啟CDP,只要把no關鍵字拿掉即可,其指令範例如下:
若是要單純開啟CDPv2,則使用以下這個指令來
開啟:
CDPv2有三個額外的交換資訊,亦即VTP domain name、Native VLAN,以及全/半雙工模式資訊,而CDPv2的預設值是開啟的。
不過,對於這個指令而言,Cisco IOS版本至少要在12.0(3)T以上才有支援。若要關閉CDPv2,只要在cdp advertise-v2之前加上no關鍵字即可。其指令範例
如下:
在單一介面上啟動或關閉CDP協定
如果一個介面的封裝設定遭到更改,即便是剛才透過no cdp run把CDP關閉,這個介面的CDP依然會被啟動,這是特殊設計,並不是一個問題。舉例來說,如果某個介面的封裝方式從PPP改成HDLC,則CDP就會重新啟動。
如果要重新把這個介面的CDP協定關閉,請使用以下這個指令:
如果要重新啟動的話,一樣把no關鍵字拿掉即可,這是一般大部分Cisco指令的規則:
清除CDP相關資訊的指令
若要清除CDP相關資訊,Cisco IOS提供兩個指令來達到這樣的動作,也就是clear cdp counters和clear cdp table。這兩個指令都是在Cisco IOS版本為10.3以後才有支援。
clear cdp counters指令是用來把CDP的traffic counters歸零。歸零之後,可以使用show cdp traffic指令來查看是否已經歸零,其執行範例如下:
clear cdp table指令則是用來清除show cdp neighbors的相關資訊,這個指令一樣沒有進階參數,以下是執行範例:
清除之後,可以利用show cdp neighbors指令來確認是否已經清除。
設定CDP發送頻率及最大hold-time值的指令
前面提到CDP資訊的交換頻率預設為60秒交換一次,而其實這個值可以透過cdp timer指令來改變。使用方式為cdp timer,後面再接上新的頻率,單位是秒。因此,若要將交換CDP的頻率改為每隔80秒交換一次的話,其指令如下:
在使用這個指令之後,若希望回到預設值,則可以執行:
通常要更改CDP的發送頻率都是因為頻寬的考量,因此可以根據所使用的環境來設定適合的發送頻率。若要改變hold-time的最大值,可透過cdp holdtime指令來設定,其所設定的值,代表Cisco設備要在本地端保留其他設備的CDP資訊長達多久的時間,預設值為180秒。設定方式為cdp holdtime後面接上時間參數,單位是秒。假設要將最大hold-time值設定為300秒,則執行範例如下:
不是所有介面都預設啟動CDP協定
預設上,CDP協定是會啟動的,但是Frame Relay Multipoint Sub-Interfaces例外。什麼是Frame Relay網路協定?Frame Relay就是「訊框中繼」(也有人稱之為幀中繼),是一個效能相當高的廣域網路協定,運作於OSI網路模型中的實體層(第一層)以及資料連結層(第二層)。
訊框中繼網路協定是連線導向的網路協定,也因此訊框中繼網路協定可以提供高效率而且品質很好的網路連線。
在網路傳輸資料的錯誤偵測與保護方面,訊框中繼網路協定依靠於高階層的網路協定。訊框中繼網路協定定義了介於路由器以及網路服務供應商的交換機設備之間的互動連線。
訊框中繼有子介面的概念,因為篇幅有限,這裡就不詳細敘述。目前只需要明白在訊框中繼中可以將子介面設定成以下兩種模式的其中一種:
1. 點對點模式
2. 多點模式
多點模式就是這裡提到的Frame Relay Multipoint Sub-Interfaces,亦即是多點模式的訊框中繼子介面,這種子介面預設上,CDP協定就是關閉的。這種介面通常是用來與遠端路由器的「多個」實體介面或是「多個」子介面建立起永久性虛擬線路。
在這種情況下,所有相關的子介面都是屬於同一個子網路之中,而每個子介面都像是一般的非廣播式多重存取網路(NBMA)的訊框中繼網路介面。