Tweet
Dynamic Trunking Protocol (DTP): Vì Sao Hai Switch Đã Kết Nối Nhưng Trunk Vẫn Không Hình Thành?
Bạn vừa cấu hình xong một đầu của liên kết trunk, kết nối dây mạng giữa hai switch và nghĩ rằng VLAN traffic sẽ tự động đi qua.
Nhưng không.
Người dùng ở cùng VLAN trên hai switch vẫn không thể giao tiếp với nhau. Kiểm tra lại cấu hình dường như không có sai sót.
Nguyên nhân có thể nằm ở Dynamic Trunking Protocol (DTP).
DTP Là Gì?
Dynamic Trunking Protocol (DTP) là giao thức độc quyền của Cisco (Cisco proprietary protocol) dùng để:
Nói đơn giản, DTP giống như cuộc hội thoại giữa hai switch:
Hoặc:
Hai Chế Độ DTP Quan Trọng
1. Dynamic Auto
Đây là chế độ thụ động (Passive Mode).
Interface:
Có thể hiểu:
2. Dynamic Desirable
Đây là chế độ chủ động (Active Mode).
Interface:
Có thể hiểu:
Mặc Định DTP Có Thể Khác Nhau
Một điểm dễ gây nhầm lẫn:
Trên các dòng Cisco switch khác nhau:
Điều này phụ thuộc vào:
Do đó, không nên dựa vào giá trị mặc định khi thiết kế mạng doanh nghiệp.
Điều Gì Xảy Ra Khi Hai Đầu Cấu Hình Khác Nhau?
Dynamic Auto + Dynamic Auto
SW1 (Auto) ←→ SW2 (Auto)
Kết quả:
❌ Không hình thành Trunk.
Nguyên nhân:
Liên kết hoạt động ở:
Access Mode
Đây là một lỗi rất phổ biến trong lab CCNA.
Dynamic Desirable + Dynamic Auto
SW1 (Desirable) ←→ SW2 (Auto)
Kết quả:
✅ Trunk được hình thành.
Nguyên nhân:
Dynamic Desirable + Dynamic Desirable
SW1 (Desirable) ←→ SW2 (Desirable)
Kết quả:
✅ Trunk được hình thành.
Cả hai đều:
Trunk + Dynamic Auto
SW1 (Manual Trunk) ←→ SW2 (Auto)
Kết quả:
✅ Trunk được hình thành.
Nguyên nhân:
Khi cấu hình:
switchport mode trunk
switch vẫn gửi DTP message (trừ khi bị vô hiệu hóa).
Dynamic Auto nhận được DTP và đồng ý hình thành Trunk.
Trunk + Nonegotiate + Dynamic Auto
SW1 (Trunk + Nonegotiate) ←→ SW2 (Auto)
Kết quả:
❌ Không hình thành Trunk.
Nguyên nhân:
SW1:
switchport mode trunk
switchport nonegotiate
không gửi DTP Message.
SW2:
dynamic auto
chỉ lắng nghe.
Không có DTP được gửi.
Không có ai khởi tạo.
Kết quả:
Access Mode
hoặc có thể gây mất kết nối giữa hai switch.
Access + Access
SW1 (Access) ←→ SW2 (Access)
Kết quả:
✅ Access Link.
Không có trunk.
Trunk + Access
SW1 (Trunk) ←→ SW2 (Access)
Kết quả:
⚠ Limited Connectivity.
Đây là trạng thái cực kỳ nguy hiểm.
Một bên:
Một bên:
Kết quả:
Lệnh Vô Hiệu Hóa DTP
Cisco khuyến nghị:
switchport nonegotiate
Lệnh này:
Ví dụ:
interface GigabitEthernet1/0/48
switchport mode trunk
switchport nonegotiate
Liên kết chỉ hoạt động nếu:
Cả hai đầu đều được cấu hình trunk thủ công.
Vì Sao Doanh Nghiệp Ít Sử Dụng DTP?
Mặc dù DTP khá tiện trong môi trường lab, nhưng trong môi trường production nó tạo ra nhiều vấn đề: Khó dự đoán
Hành vi phụ thuộc:
Dễ gây lỗi cấu hình
Ví dụ:
Auto + Auto
không tạo được trunk.
Nhiều kỹ sư mất hàng giờ troubleshooting chỉ vì vấn đề này.
Rủi Ro Bảo Mật
Một switch hoặc thiết bị giả mạo có thể:
Đây là cơ sở của một số kỹ thuật:
Do đó, Cisco khuyến nghị:
Best Practice Trong Doanh Nghiệp
Đối với uplink giữa các switch:
interface Gi1/0/48
switchport mode trunk
switchport trunk native vlan 99
switchport trunk allowed vlan 10,20,30,99
switchport nonegotiate
Cấu hình tương tự ở switch bên kia.
Lợi ích:
Tóm Tắt Các Cặp DTP Quan Trọng
Dynamic Auto + Dynamic Auto
❌ Không hình thành Trunk.
Dynamic Desirable + Dynamic Auto
✅ Hình thành Trunk.
Dynamic Desirable + Dynamic Desirable
✅ Hình thành Trunk.
Trunk + Dynamic Auto
✅ Hình thành Trunk.
Trunk + Nonegotiate + Dynamic Auto
❌ Không hình thành Trunk.
Trunk + Access
⚠ Limited Connectivity.
Kết Luận
Dynamic Trunking Protocol (DTP) giúp Cisco switch tự động thương lượng chế độ Access hoặc Trunk, nhưng sự tiện lợi này lại mang đến tính khó dự đoán và rủi ro bảo mật trong môi trường doanh nghiệp. Vì vậy, các hệ thống production hiện đại thường không sử dụng DTP, mà cấu hình trunk thủ công ở cả hai đầu:
switchport mode trunk
switchport nonegotiate
Hiểu rõ cơ chế hoạt động của DTP và các cặp chế độ như Auto, Desirable và Trunk là kỹ năng quan trọng giúp kỹ sư mạng nhanh chóng xác định nguyên nhân khi hai switch đã kết nối nhưng VLAN traffic vẫn không thể đi qua.
Bạn vừa cấu hình xong một đầu của liên kết trunk, kết nối dây mạng giữa hai switch và nghĩ rằng VLAN traffic sẽ tự động đi qua.
Nhưng không.
Người dùng ở cùng VLAN trên hai switch vẫn không thể giao tiếp với nhau. Kiểm tra lại cấu hình dường như không có sai sót.
Nguyên nhân có thể nằm ở Dynamic Trunking Protocol (DTP).
DTP Là Gì?
Dynamic Trunking Protocol (DTP) là giao thức độc quyền của Cisco (Cisco proprietary protocol) dùng để:
- Tự động thương lượng xem liên kết giữa hai switch sẽ hoạt động ở chế độ Access hay Trunk.
- Nếu trở thành Trunk, DTP còn có thể thương lượng phương thức encapsulation trunking (trên các nền tảng cũ hỗ trợ nhiều kiểu encapsulation như ISL và 802.1Q).
Nói đơn giản, DTP giống như cuộc hội thoại giữa hai switch:
"Bạn có muốn trở thành Trunk không?"
"Có."
"Vậy chúng ta sẽ hoạt động ở chế độ Trunk."
"Có."
"Vậy chúng ta sẽ hoạt động ở chế độ Trunk."
Hoặc:
"Tôi không chủ động yêu cầu Trunk."
"Tôi cũng vậy."
"Vậy cứ để Access."
"Tôi cũng vậy."
"Vậy cứ để Access."
Hai Chế Độ DTP Quan Trọng
1. Dynamic Auto
Đây là chế độ thụ động (Passive Mode).
Interface:
- Không chủ động gửi DTP Message.
- Chỉ lắng nghe DTP từ thiết bị bên kia.
- Chỉ hình thành Trunk nếu nhận được yêu cầu từ switch đối diện.
Có thể hiểu:
"Nếu bạn muốn Trunk thì hãy nói với tôi trước."
2. Dynamic Desirable
Đây là chế độ chủ động (Active Mode).
Interface:
- Gửi DTP Message.
- Lắng nghe DTP Message.
- Chủ động yêu cầu hình thành Trunk.
Có thể hiểu:
"Tôi muốn trở thành Trunk. Bạn có đồng ý không?"
Mặc Định DTP Có Thể Khác Nhau
Một điểm dễ gây nhầm lẫn:
Trên các dòng Cisco switch khác nhau:
- Một số platform mặc định là:
- Một số platform mặc định là:
Điều này phụ thuộc vào:
- Dòng switch
- Phiên bản IOS
- Phiên bản IOS XE.
Do đó, không nên dựa vào giá trị mặc định khi thiết kế mạng doanh nghiệp.
Điều Gì Xảy Ra Khi Hai Đầu Cấu Hình Khác Nhau?
Dynamic Auto + Dynamic Auto
SW1 (Auto) ←→ SW2 (Auto)
Kết quả:
❌ Không hình thành Trunk.
Nguyên nhân:
- Không ai chủ động gửi DTP.
- Cả hai cùng chờ nhau.
Liên kết hoạt động ở:
Access Mode
Đây là một lỗi rất phổ biến trong lab CCNA.
Dynamic Desirable + Dynamic Auto
SW1 (Desirable) ←→ SW2 (Auto)
Kết quả:
✅ Trunk được hình thành.
Nguyên nhân:
- Dynamic Desirable gửi DTP.
- Dynamic Auto lắng nghe và đồng ý.
Dynamic Desirable + Dynamic Desirable
SW1 (Desirable) ←→ SW2 (Desirable)
Kết quả:
✅ Trunk được hình thành.
Cả hai đều:
- Gửi DTP
- Lắng nghe DTP
- Chủ động thương lượng.
Trunk + Dynamic Auto
SW1 (Manual Trunk) ←→ SW2 (Auto)
Kết quả:
✅ Trunk được hình thành.
Nguyên nhân:
Khi cấu hình:
switchport mode trunk
switch vẫn gửi DTP message (trừ khi bị vô hiệu hóa).
Dynamic Auto nhận được DTP và đồng ý hình thành Trunk.
Trunk + Nonegotiate + Dynamic Auto
SW1 (Trunk + Nonegotiate) ←→ SW2 (Auto)
Kết quả:
❌ Không hình thành Trunk.
Nguyên nhân:
SW1:
switchport mode trunk
switchport nonegotiate
không gửi DTP Message.
SW2:
dynamic auto
chỉ lắng nghe.
Không có DTP được gửi.
Không có ai khởi tạo.
Kết quả:
Access Mode
hoặc có thể gây mất kết nối giữa hai switch.
Access + Access
SW1 (Access) ←→ SW2 (Access)
Kết quả:
✅ Access Link.
Không có trunk.
Trunk + Access
SW1 (Trunk) ←→ SW2 (Access)
Kết quả:
⚠ Limited Connectivity.
Đây là trạng thái cực kỳ nguy hiểm.
Một bên:
- Gửi frame có VLAN Tag.
Một bên:
- Chỉ hiểu frame untagged.
Kết quả:
- Native VLAN có thể hoạt động.
- Các VLAN khác mất kết nối.
- Broadcast có thể đi sai VLAN.
- Rất khó troubleshoot.
Lệnh Vô Hiệu Hóa DTP
Cisco khuyến nghị:
switchport nonegotiate
Lệnh này:
- Tắt DTP.
- Không gửi DTP Message.
- Không thương lượng Trunk.
Ví dụ:
interface GigabitEthernet1/0/48
switchport mode trunk
switchport nonegotiate
Liên kết chỉ hoạt động nếu:
Cả hai đầu đều được cấu hình trunk thủ công.
Vì Sao Doanh Nghiệp Ít Sử Dụng DTP?
Mặc dù DTP khá tiện trong môi trường lab, nhưng trong môi trường production nó tạo ra nhiều vấn đề: Khó dự đoán
Hành vi phụ thuộc:
- Platform
- IOS Version
- Cấu hình đầu bên kia.
Dễ gây lỗi cấu hình
Ví dụ:
Auto + Auto
không tạo được trunk.
Nhiều kỹ sư mất hàng giờ troubleshooting chỉ vì vấn đề này.
Rủi Ro Bảo Mật
Một switch hoặc thiết bị giả mạo có thể:
- Gửi DTP Message.
- Tự động hình thành Trunk.
- Truy cập vào nhiều VLAN.
Đây là cơ sở của một số kỹ thuật:
- VLAN Hopping Attack
- Switch Spoofing Attack
Do đó, Cisco khuyến nghị:
- Không sử dụng DTP trong production.
- Không dựa vào chế độ Dynamic.
- Cấu hình thủ công.
Best Practice Trong Doanh Nghiệp
Đối với uplink giữa các switch:
interface Gi1/0/48
switchport mode trunk
switchport trunk native vlan 99
switchport trunk allowed vlan 10,20,30,99
switchport nonegotiate
Cấu hình tương tự ở switch bên kia.
Lợi ích:
- Hành vi dự đoán được.
- Không phụ thuộc DTP.
- Giảm nguy cơ VLAN Hopping.
- Dễ troubleshooting.
- Phù hợp với các tiêu chuẩn bảo mật doanh nghiệp.
Tóm Tắt Các Cặp DTP Quan Trọng
Dynamic Auto + Dynamic Auto
❌ Không hình thành Trunk.
Dynamic Desirable + Dynamic Auto
✅ Hình thành Trunk.
Dynamic Desirable + Dynamic Desirable
✅ Hình thành Trunk.
Trunk + Dynamic Auto
✅ Hình thành Trunk.
Trunk + Nonegotiate + Dynamic Auto
❌ Không hình thành Trunk.
Trunk + Access
⚠ Limited Connectivity.
Kết Luận
Dynamic Trunking Protocol (DTP) giúp Cisco switch tự động thương lượng chế độ Access hoặc Trunk, nhưng sự tiện lợi này lại mang đến tính khó dự đoán và rủi ro bảo mật trong môi trường doanh nghiệp. Vì vậy, các hệ thống production hiện đại thường không sử dụng DTP, mà cấu hình trunk thủ công ở cả hai đầu:
switchport mode trunk
switchport nonegotiate
Hiểu rõ cơ chế hoạt động của DTP và các cặp chế độ như Auto, Desirable và Trunk là kỹ năng quan trọng giúp kỹ sư mạng nhanh chóng xác định nguyên nhân khi hai switch đã kết nối nhưng VLAN traffic vẫn không thể đi qua.