STAGE 03 / EtherChannelと総演習

DTPとVTP

考えてみよう

2台のスイッチをつないだだけで、何も設定していないのに、いつの間にかトランクリンクとして動き始めていた——そんなことが起こり得るのでしょうか?

Ciscoのスイッチポートには、初期状態でも「自動的に」相手と交渉して動作モードを決める仕組みが備わっています。便利そうに聞こえますが、セキュリティの観点からは少し怖い話でもあります。

DTP:ポートの役割を自動で決めるおしゃべり機能

Ciscoスイッチのポートには、DTP(Dynamic Trunking Protocol)という機能があり、隣接するスイッチと自動的に交渉して、そのリンクをアクセスポートにするかトランクポートにするかを決めることができます。

DTPには主に次のモードがあります。

EtherChannelのPAgP/LACPと同じ発想で、「両方が受け身(auto同士)」だとトランクは成立せずアクセスポートのままになりますが、片方でも積極的(desirable)であれば、自動的にトランクが成立してしまいます。

DTPの危険性:意図しないトランクが生まれる

ここに落とし穴があります。もし攻撃者が、スイッチのポートに不正な機器を接続し、その機器がDTPで「トランクにしよう」と要求してきた場合、スイッチ側の設定がdynamic autodynamic desirableのままだと、意図せずトランクが成立してしまう可能性があります。トランクが成立すると、本来アクセスできないはずの複数のVLANのトラフィックにアクセスできてしまう危険があります(VLANホッピング攻撃の足がかりになります)。

このため実務上のベストプラクティスとして、使用しないポートや、意図的にアクセスポートとして固定したいポートには、明示的にswitchport mode accessを設定し、DTPのネゴシエーションを無効化しておくことが推奨されます。トランクにしたいポートも、switchport mode trunkと明示し、さらにswitchport nonegotiateでDTP自体を止めておくとより安全です。

確認問題

セキュリティの観点から、使用しないスイッチポートに対して推奨される設定はどれでしょうか?

答えを見る

switchport mode accessを明示的に設定し、DTPによる自動トランク化を防ぐことが推奨されます。あわせて未使用ポートはシャットダウンし、アクセスVLANも本番用とは別の隔離VLANに割り当てておくとより安全です。

VTP:VLAN情報を一括配布する仕組み

複数のスイッチが存在するネットワークでは、VLANの作成・削除・名前変更を、スイッチ1台ずつ手作業で行うのは大変です。そこで登場するのがVTP(VLAN Trunking Protocol)です。VTPは、VLANデータベースの情報をトランクリンクを通じて自動的に配布・同期する、シスコ独自のプロトコルです。

VTPには3つの動作モードがあります。

モードVLANの作成・削除他スイッチから受信した情報の反映情報の広告(送信)
serverできるするする
clientできないするする
transparentできる(自分のみ)しない(自分の設定は変えない)中継だけする

serverモードのスイッチでVLANを作成すると、その情報が同じVTPドメイン内のclientモードのスイッチにも自動的に伝わり、同じVLANが作られます。transparentモードは、VTPの情報を右から左へ中継はしますが、自分自身のVLANデータベースには反映しません。他のスイッチとは独立してVLANを管理したい場合に使います。

確認問題

VTPのclientモードのスイッチは、自分自身でVLANを新規作成できるでしょうか?

答えを見る

できません。clientモードは、serverモードのスイッチから配布されたVLAN情報を受信して反映するだけで、自分でVLANを作成・削除する権限を持ちません。

VTPの危険性:コンフィグレーションリビジョン番号の罠

VTPには、CCNA試験でも実務でも語り草になっている大きな落とし穴があります。VTPにはコンフィグレーションリビジョン番号という「情報の新しさ」を示す番号があり、リビジョン番号がより大きい方の情報が正として採用されます。

ここで恐ろしいのは、たとえclientモードのスイッチであっても、もし過去に別のVTPドメインでserverとして使われていて高いリビジョン番号を持ったまま、うっかり本番ネットワークに接続されてしまうと、そのスイッチが持つ(古い、あるいは空の)VLAN情報が「リビジョン番号が高い」という理由だけで正として採用され、本番環境のVLAN設定が丸ごと上書き・削除されてしまうことがあるのです。中古のスイッチや、他拠点で使っていたスイッチを何も考えずに接続すると起こりがちな事故です。

対策としては、新しく持ち込むスイッチは事前にvtp mode transparentにしておく、あるいはVTPドメイン名やパスワードを適切に管理し、リビジョン番号をリセットしてから接続する、といった運用が推奨されます。

試験でのポイント

CCNA試験では、DTPのモード組み合わせ(EtherChannelのPAgP/LACPと似た「能動・受動」の考え方)と、VTPの3モード(server/client/transparent)の違い、そしてコンフィグレーションリビジョン番号によるVLANデータベース上書き事故のシナリオが頻出です。「clientモードは安全」という思い込みをせず、リビジョン番号次第では危険な事故につながる、という点をしっかり押さえておきましょう。

ゆみちゃん
ゆみ

DTPは便利だけど油断するとセキュリティホールになるし、VTPは楽だけどリビジョン番号の罠で本番環境を壊しかねない——どちらも「自動化の裏にある注意点」を教えてくれる良い教材だよね。次はいよいよSTAGE03の総仕上げ、スイッチング総演習のドリルだよ。ここまでの内容を一気に確認していこう。