新しく現場に配属されて、目の前のスイッチに何がつながっているか分からないとき、ケーブルを1本ずつ目で追いかける以外に方法はあるでしょうか?
物理的にラックの裏を這いずり回らなくても、機器同士が「隣に誰がいるか」を自動的に教え合ってくれる仕組みがあります。どんな情報をやり取りしていそうか、考えてみてください。
隣の機器は「名刺交換」で分かる
いよいよSTAGE06、ネットワーク運用の章に入ります。ここからは、日々の運用・監視・自動化といった「現場で使う知識」を扱っていきます。最初のテーマは、隣接機器を自動的に発見する仕組み、CDPとLLDPです。
初対面の人同士が名刺を交換すれば、相手の会社名や役職がすぐ分かりますよね。CDPとLLDPは、ネットワーク機器同士が定期的に「名刺」を送り合うプロトコルです。ケーブルを目で追わなくても、隣に何がつながっているかが一目で分かるようになります。
CDP:シスコ機器同士の名刺交換
CDP(Cisco Discovery Protocol)は、シスコ独自のプロトコルです。シスコの機器同士が、60秒ごとにCDPフレームを送り合い、自分のホスト名・IPアドレス・プラットフォーム(機種)・接続しているインターフェース名などを教え合います。
CDPはL2フレームとして送信されるため、IPアドレスが未設定でも動作するのが特徴です。デフォルトで有効になっている点も覚えておきましょう。
LLDP:ベンダーを問わない業界標準
LLDP(Link Layer Discovery Protocol)は、CDPと同じ役割を果たす業界標準(IEEE 802.1AB)のプロトコルです。シスコ以外のベンダー機器とも情報交換ができるため、他社製品が混在する環境ではLLDPが重宝されます。
考え方はCDPとほぼ同じで、隣接機器の情報を定期的に交換します。「シスコ同士ならCDP、混在環境ならLLDP」とざっくり覚えておくとよいでしょう。
show cdp neighbors で隣接機器を確認する
CDPで収集した情報は、次のコマンドで確認します。
Switch# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater
Device ID Local Intrfce Holdtme Capability Platform Port ID
Router01 Gig 0/1 157 R S I 2901 Gig 0/0
この一覧では、隣接機器のホスト名(Device ID)、こちら側の接続ポート(Local Intrfce)、相手の種別(Capability)、機種(Platform)、相手側の接続ポート(Port ID)が分かります。
より詳しい情報(IPアドレスなど)を見たい場合は show cdp neighbors detail を使います。
Switch# show cdp neighbors detail
LLDPの場合も同様に show lldp neighbors および show lldp neighbors detail で確認できます。
セキュリティ上の注意:無効化も選択肢
CDP・LLDPは便利な反面、機種名やIPアドレスといった内部情報を隣接機器に漏らしてしまうというセキュリティ上のリスクもあります。特に外部と接続するポートや、信頼できない機器が接続される可能性があるポートでは、無効化を検討します。
Switch(config)# no cdp run
Switch(config-if)# no cdp enable
no cdp run はデバイス全体でCDPを無効化し、no cdp enable はインターフェース単位で無効化します。LLDPも同様に no lldp run でグローバルに無効化できます。
シスコ製ルーターとシスコ製スイッチが隣接しています。隣接機器の情報を自動的に得るために、デフォルトで有効になっているシスコ独自のプロトコルは何でしょう?
答えを見る
答えはCDP(Cisco Discovery Protocol)です。シスコ機器同士で60秒ごとに情報を交換し、ホスト名・プラットフォーム・接続ポートなどを自動的に把握できます。ベンダーを問わない標準プロトコルはLLDPです。
試験でのポイント
CCNA試験では、CDPがシスコ独自、LLDPが業界標準(IEEE 802.1AB)という違いがよく問われます。また、CDPの送信間隔(60秒)や、確認コマンド show cdp neighbors と show cdp neighbors detail の使い分け(後者でIPアドレスまで分かる)も定番の出題ポイントです。さらに、CDP・LLDPは内部情報を漏らすリスクがあるため、外部接続ポートでは no cdp enable などで無効化するのがセキュリティのベストプラクティスである、という考え方も押さえておきましょう。「便利だから常に有効にすべき」と早合点しないよう注意してください。
外部のインターネット接続業者(ISP)とつながっているルーターのインターフェースで、CDPを無効化したいとき、インターフェースコンフィギュレーションモードで入力するコマンドは?
答えを見る
答えは no cdp enable です。デバイス全体を無効化する no cdp run とは異なり、こちらは特定のインターフェースだけでCDPを無効化します。信頼できない外部接続ポートでは、内部情報の漏えいを防ぐためにこの設定が有効です。
CDPとLLDP、どっちも「隣に誰がいるか」を自動で教え合ってくれる名刺交換みたいな仕組みだったね。シスコ同士ならCDP、混在環境ならLLDP。show cdp neighborsで一覧、detailでさらに詳しく——ここは実務でもよく使うコマンドだよ。次はNTP・Syslog・SNMP、機器の時刻合わせとログ管理・監視の話をしていくよ。