[Network] DTP - 동적 트렁킹 프로토콜

들어가며

이번 글에서는 DTP의 동작 원리와 각 모드의 특징을 살펴보고, 왜 DTP를 사용하지 말아야 하는지, 그리고 안전한 네트워크를 구성하기 위해 어떻게 설정해야 하는지를 자세히 알아보겠습니다.

---

1. DTP 개요

DTP란?

DTP(Dynamic Trunking Protocol)는 Cisco에서 개발한 독점 프로토콜로, 두 Cisco 스위치 간에 트렁크 연결을 자동으로 협상하는 기능을 제공합니다. 스위치가 서로 연결될 때 DTP를 통해 자동으로 트렁크 포트를 형성할지, 액세스 포트로 동작할지를 결정할 수 있습니다.

DTP의 필요성과 한계

DTP는 네트워크 구성을 간편하게 하기 위해 설계되었지만, 실무 환경에서는 여러 가지 이유로 사용을 지양하는 것이 권장됩니다. 자동 협상 과정에서 예상치 못한 트렁크가 형성되거나, 보안 취약점이 발생할 수 있기 때문입니다.

DTP 사용의 문제점:

• 보안 위험: 공격자가 DTP를 악용하여 의도하지 않은 트렁크를 형성하고 VLAN 호핑 공격을 시도할 수 있음
• 예측 불가능성: 자동 협상 결과가 관리자의 의도와 다를 수 있음
• 관리 복잡성: 네트워크 문제 발생 시 원인 파악이 어려움

---

2. DTP 동작 모드

DTP는 포트의 설정에 따라 다양한 방식으로 동작하며, 각 모드는 상대방 포트와의 협상 결과에 따라 최종적으로 트렁크 또는 액세스 포트로 결정됩니다.

Dynamic Auto

Dynamic Auto는 수동적인 협상 모드로, 상대방이 먼저 트렁크 형성을 요청할 때만 트렁크로 동작합니다.

switchport mode dynamic auto

동작 방식:

• 상대방이 trunk 또는 desirable 모드면 트렁크 형성
• 상대방도 auto면 트렁크가 형성되지 않고 액세스 포트로 동작
• 최신 Cisco 스위치의 기본 설정값

Dynamic Desirable

Dynamic Desirable은 적극적인 협상 모드로, 스스로 트렁크 형성을 시도합니다.

switchport mode dynamic desirable

동작 방식:

• 상대방이 trunk, desirable 또는 auto면 트렁크 형성
• auto 모드보다 더 적극적으로 트렁크를 시도
• 구형 Cisco 스위치의 기본 설정값

Manual Trunk

수동으로 트렁크 포트를 설정하는 방식으로, DTP 협상 없이 항상 트렁크로 동작합니다.

switchport mode trunk

동작 방식:

• 무조건 트렁크 포트로 동작
• 상대방 설정과 관계없이 트렁크 시도

Manual Access

수동으로 액세스 포트를 설정하는 방식으로, DTP 협상 없이 항상 액세스 포트로 동작합니다.

switchport mode access

동작 방식:

• 무조건 액세스 포트로 동작
• 어떤 상대방과도 트렁크 형성 불가

Nonegotiate

Nonegotiate는 DTP 협상을 완전히 비활성화하는 옵션입니다.

switchport nonegotiate

동작 방식:

• DTP 패킷을 전송하지 않음
• trunk 또는 access 모드와 함께 사용
• 보안을 위해 DTP를 완전히 차단할 때 사용

---

3. DTP 모드 조합과 결과

DTP는 양쪽 포트의 모드 조합에 따라 최종적으로 트렁크가 형성되거나 액세스 포트로 동작합니다.

로컬 포트	상대 포트	결과
trunk	trunk	Trunk ✓
trunk	desirable	Trunk ✓
trunk	auto	Trunk ✓
desirable	desirable	Trunk ✓
desirable	auto	Trunk ✓
auto	auto	Access ✗
access	(any)	Access ✗

핵심 원칙:

• 양쪽 모두 auto면 트렁크가 형성되지 않음
• 한쪽이라도 access면 트렁크 형성 불가
• desirable은 적극적, auto는 수동적으로 협상

---

4. DTP 설정 및 확인

보안을 고려한 트렁크 설정

실무 환경에서는 DTP를 사용하지 않고, 수동으로 트렁크를 설정하고 DTP 협상을 비활성화하는 것이 권장됩니다.

SW1(config)# interface GigabitEthernet 0/1
SW1(config-if)# description Trunk to SW2
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport nonegotiate

설정 설명:

• switchport mode trunk: 트렁크 포트로 수동 설정
• switchport nonegotiate: DTP 비활성화로 보안 강화

Access 포트 설정

엔드 디바이스가 연결되는 포트는 반드시 액세스 포트로 설정해야 합니다.

SW1(config)# interface FastEthernet 0/1
SW1(config-if)# switchport mode access
SW1(config-if)# switchport access vlan 10

DTP 상태 확인

DTP 설정 상태를 확인하려면 show interfaces switchport 명령어를 사용합니다.

SW1# show interface gig0/1 switchport

Name: Gig0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Negotiation of Trunking: Off

확인 사항:

• Negotiation of Trunking: DTP 협상 활성화 여부
  • On: DTP 활성화 (보안상 취약)
  • Off: DTP 비활성화 (권장)

---

5. DTP 보안 문제와 대응

DTP의 보안 취약점

DTP는 자동 협상 과정에서 보안 취약점이 발생할 수 있습니다. 공격자가 DTP를 악용하여 의도하지 않은 트렁크를 형성하고, VLAN 호핑 공격을 수행할 수 있습니다.

공격 시나리오:

1. 공격자가 네트워크에 장비를 연결
2. DTP desirable 모드로 트렁크 협상 시도
3. 스위치가 auto 모드면 트렁크 형성
4. 공격자가 모든 VLAN에 접근 가능

보안 강화 방법

1. 모든 포트를 수동으로 설정: switchport mode trunk 또는 switchport mode access
2. DTP 비활성화: switchport nonegotiate
3. 사용하지 않는 포트 차단: shutdown 설정
4. 사용하지 않는 포트를 격리 VLAN에 할당: 보안 강화

보안 설정 예시:

# 트렁크 포트 보안 설정
interface GigabitEthernet 0/1
switchport mode trunk
switchport nonegotiate

# Access 포트 보안 설정
interface FastEthernet 0/10
switchport mode access
switchport access vlan 10

# 사용하지 않는 포트 차단
interface range FastEthernet 0/20-24
switchport mode access
switchport access vlan 999
shutdown

---

마무리 및 정리

DTP는 Cisco 스위치 간 트렁크를 자동으로 협상하는 프로토콜이지만, 현대 네트워크 환경에서는 사용을 권장하지 않습니다. 자동 협상의 편리함보다 보안 취약점과 예측 불가능성의 위험이 훨씬 크기 때문입니다.

핵심 요점:

• 모든 포트를 수동으로 명시적 설정: switchport mode trunk 또는 switchport mode access
• DTP 비활성화: switchport nonegotiate 추가
• 사용하지 않는 포트 차단: shutdown 및 격리 VLAN 할당
• 정기적인 감사: DTP 설정 상태를 주기적으로 점검

다음 글에서는 VTP(VLAN Trunking Protocol)에 대해 다루며, VTP의 동작 원리와 함께 DTP와 유사하게 주의해야 할 보안 문제를 살펴보겠습니다.