[Network] CDP와 LLDP (네트워크 발견 프로토콜)

1. 네트워크 발견 프로토콜이란?

네트워크 관리자가 대규모 네트워크를 운영하다 보면, 어떤 장비가 어디에 연결되어 있는지 파악하기 어려운 경우가 많습니다. 특히 물리적으로 떨어진 장비들이 복잡하게 연결된 환경에서는 네트워크 토폴로지를 이해하는 것이 쉽지 않습니다.

 

이러한 문제를 해결하기 위해 등장한 것이 네트워크 발견 프로토콜(Network Discovery Protocol)입니다. 이 프로토콜은 Layer 2에서 동작하며, 직접 연결된 장비 간에 자동으로 정보를 교환하여 네트워크 관리자가 장비의 연결 상태와 정보를 쉽게 파악할 수 있도록 돕습니다.

 

대표적인 네트워크 발견 프로토콜로는 CDP(Cisco Discovery Protocol)와 LLDP(Link Layer Discovery Protocol)가 있습니다.

---

2. CDP (Cisco Discovery Protocol)

CDP의 기본 개념

CDP는 Cisco에서 개발한 Layer 2 프로토콜로, Cisco 장비 간에만 동작하는 독점 프로토콜입니다. CDP를 통해 직접 연결된 Cisco 장비들은 서로의 정보를 자동으로 공유하며, 관리자는 이를 통해 네트워크 구조를 빠르게 파악할 수 있습니다.

CDP가 제공하는 주요 정보는 다음과 같습니다:

• 장비 이름 (Hostname)
• 운영체제 버전 (IOS Version)
• IP 주소
• 장비 모델 및 하드웨어 플랫폼
• 연결된 인터페이스 정보
• VLAN 정보

CDP의 특징

CDP는 Layer 2에서 동작하기 때문에 IP 주소가 할당되지 않은 상태에서도 작동할 수 있습니다. 이는 초기 네트워크 구성 단계에서 매우 유용하며, 장비 간 물리적 연결만 확인되면 CDP를 통해 정보를 수집할 수 있습니다.

또한 CDP는 대부분의 Cisco 장비에서 기본적으로 활성화되어 있어, 별도의 설정 없이도 바로 사용할 수 있습니다. 이를 통해 네트워크 관리자는 트러블슈팅 시 연결된 장비를 빠르게 확인하고, 네트워크 토폴로지를 자동으로 매핑할 수 있습니다.

CDP 설정 및 명령어

전역 CDP 설정

CDP는 전역적으로 활성화하거나 비활성화할 수 있습니다.

Switch(config)# cdp run

CDP를 비활성화하려면 다음과 같이 입력합니다:

Switch(config)# no cdp run

인터페이스별 CDP 설정

특정 인터페이스에서만 CDP를 비활성화하고 싶다면, 해당 인터페이스에서 다음 명령어를 사용합니다:

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# no cdp enable

이 설정은 보안상의 이유로 외부 네트워크와 연결된 인터페이스에서 CDP를 비활성화할 때 유용합니다.

CDP 확인 명령어

CDP의 전역 설정과 타이머 정보를 확인하려면 다음 명령어를 사용합니다:

Switch# show cdp

직접 연결된 인접 장비의 요약 정보를 확인하려면:

Switch# show cdp neighbors

이 명령어는 연결된 장비의 이름, 로컬 포트, 원격 포트 등의 간단한 정보를 보여줍니다.

더 상세한 정보가 필요하다면 다음 명령어를 사용합니다:

Switch# show cdp neighbors detail

이 명령어는 IP 주소, IOS 버전, 플랫폼 정보 등 더 많은 세부 사항을 제공합니다.

---

3. LLDP (Link Layer Discovery Protocol)

LLDP의 기본 개념

LLDP는 IEEE 802.1AB 표준으로 정의된 개방형 프로토콜입니다. CDP와 유사한 기능을 제공하지만, Cisco 장비뿐만 아니라 다양한 벤더의 장비에서 사용할 수 있다는 점이 가장 큰 차이입니다.

멀티 벤더 환경에서 네트워크를 운영하는 경우, LLDP를 사용하면 서로 다른 제조사의 장비 간에도 정보를 교환할 수 있습니다. 이는 특히 Linux 서버나 타 벤더의 스위치와 연동이 필요한 환경에서 유용합니다.

LLDP의 특징

LLDP는 CDP와 달리 일부 Cisco 장비에서는 기본적으로 비활성화되어 있을 수 있습니다. 따라서 사용하기 전에 LLDP가 활성화되어 있는지 확인해야 합니다.

또한 LLDP는 물리적 인터페이스에서만 지원되며, SVI(VLAN 인터페이스)와 같은 논리적 인터페이스에서는 동작하지 않습니다. 그리고 하나의 포트에서는 하나의 장비만 검색할 수 있다는 제약이 있습니다.

LLDP 설정 및 명령어

전역 LLDP 설정

LLDP를 전역적으로 활성화하려면:

Switch(config)# lldp run

LLDP를 비활성화하려면:

Switch(config)# no lldp run

인터페이스별 LLDP 설정

특정 인터페이스에서 LLDP 정보 전송을 중지하려면:

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# no lldp transmit

특정 인터페이스에서 LLDP 정보 수신을 중지하려면:

Switch(config-if)# no lldp receive

LLDP 확인 명령어

LLDP의 전역 설정 및 타이머 정보를 확인하려면:

Switch# show lldp

인접 장비의 요약 정보를 확인하려면:

Switch# show lldp neighbors

더 상세한 정보를 확인하려면:

Switch# show lldp neighbors detail

---

4. CDP vs LLDP: 언제 무엇을 사용할까?

주요 차이점 비교

CDP와 LLDP는 비슷한 목적을 가지고 있지만, 몇 가지 중요한 차이점이 있습니다.

표준화

• CDP는 Cisco 전용 프로토콜로, Cisco 장비에서만 동작합니다.
• LLDP는 IEEE 표준 프로토콜로, 다양한 벤더의 장비에서 사용할 수 있습니다.

기본 설정

• CDP는 대부분의 Cisco 장비에서 기본적으로 활성화되어 있습니다.
• LLDP는 모델과 버전에 따라 기본적으로 비활성화되어 있을 수 있습니다.

인터페이스 지원

• CDP는 물리적 인터페이스뿐만 아니라 논리적 인터페이스(예: SVI)에서도 동작합니다.
• LLDP는 물리적 인터페이스에서만 지원됩니다.

검색 제한

• CDP는 하나의 포트에서 여러 장비를 검색할 수 있습니다.
• LLDP는 포트당 하나의 장비만 검색할 수 있습니다.

호환성

• CDP는 Cisco 장비 간에만 동작합니다.
• LLDP는 Linux 서버 및 타 벤더 장비와도 호환됩니다.

선택 기준

만약 네트워크 환경이 순수하게 Cisco 장비로만 구성되어 있다면, CDP를 사용하는 것이 간편합니다. 별도의 설정 없이도 기본적으로 활성화되어 있어 즉시 사용할 수 있기 때문입니다.

반면, 멀티 벤더 환경이거나 Linux 서버와의 연동이 필요한 경우에는 LLDP를 사용하는 것이 적합합니다. LLDP는 개방형 표준이기 때문에 다양한 장비와 호환되며, 벤더 종속성 없이 네트워크 정보를 수집할 수 있습니다.

---

5. 보안 고려사항

CDP/LLDP의 보안 취약점

CDP와 LLDP는 네트워크 관리에 유용하지만, 보안적인 측면에서는 주의가 필요합니다. 이 프로토콜들은 인증 없이 정보를 브로드캐스트하기 때문에, 공격자가 네트워크에 접근할 경우 네트워크 구조와 장비 정보를 쉽게 수집할 수 있습니다.

특히 외부 네트워크와 연결된 인터페이스나, 신뢰할 수 없는 장비가 연결될 가능성이 있는 포트에서는 CDP와 LLDP를 비활성화하는 것이 권장됩니다.

보안 강화 방법

외부와 연결된 인터페이스에서는 CDP와 LLDP를 비활성화합니다:

Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# no cdp enable
Switch(config-if)# no lldp transmit
Switch(config-if)# no lldp receive

또한, 네트워크 정책에 따라 특정 VLAN이나 구역에서만 CDP/LLDP를 활성화하고, 불필요한 곳에서는 비활성화하는 것이 좋습니다.

---

마무리 및 정리

CDP와 LLDP는 네트워크 관리자에게 네트워크 토폴로지를 자동으로 파악할 수 있도록 도와주는 유용한 프로토콜입니다. CDP는 Cisco 전용 환경에서 간편하게 사용할 수 있으며, LLDP는 멀티 벤더 환경에서 표준화된 방식으로 장비 정보를 수집할 수 있습니다.

 

하지만 이러한 프로토콜들은 보안적인 취약점도 가지고 있으므로, 외부 네트워크와 연결된 인터페이스에서는 반드시 비활성화해야 합니다. 적절한 설정과 보안 정책을 통해 CDP와 LLDP를 안전하게 활용할 수 있습니다.

 

다음 글에서는 스위치의 동작 원리와 MAC 주소 테이블 관리에 대해 다뤄보겠습니다!