CDP/LLDP

Los protocolos de descubrimiento de Capa 2 son herramientas fundamentales para que los dispositivos de red puedan compartir información y descubrir a sus vecinos conectados. Hoy exploraremos dos de los más relevantes: CDP (Cisco Discovery Protocol) y LLDP (Link Layer Discovery Protocol).

1. Cisco Discovery Protocol (CDP)

CDP es un protocolo propietario de Cisco, lo que significa que solo funciona en dispositivos Cisco (routers, switches, firewalls, teléfonos IP, etc.). Por defecto, CDP viene habilitado en estos equipos, facilitando la detección automática de otros dispositivos Cisco en la red.

¿Cómo funciona CDP?

  • Los mensajes CDP se envían periódicamente a la dirección MAC de multidifusión 0100.0CCC.CCCC.
  • Cuando un dispositivo recibe un mensaje CDP, lo procesa y lo descarta; no lo reenvía a otros dispositivos.
  • Por defecto, los mensajes CDP se envían cada 60 segundos.
  • El tiempo de espera (holdtime) predeterminado para CDP es de 180 segundos. Si un mensaje no se recibe de un vecino durante este período, el vecino se elimina de la tabla de vecinos CDP.
  • CDPv2 es la versión que se envía por defecto.

Información compartida por CDP

Los mensajes CDP pueden compartir información valiosa como:

  • Hostname del dispositivo.
  • Dirección IP.
  • Tipo de dispositivo.
  • Versión del software Cisco IOS.
  • Información de interfaz y duplex.

Comandos de verificación de CDP

Aquí algunos comandos útiles para verificar CDP en tus dispositivos Cisco:

  • show cdp: Muestra información global de CDP (timers, versión).
  • show cdp traffic: Muestra estadísticas de los mensajes CDP enviados y recibidos.
  • show cdp interface: Muestra información de CDP por interfaz.
  • show cdp neighbors: Lista los vecinos CDP y un resumen de información de cada uno (ID del dispositivo, interfaz local, holdtime, capacidades, plataforma, ID de puerto).
  • show cdp neighbors detail: Proporciona información más detallada sobre cada vecino CDP, incluyendo direcciones IP, versión de IOS, y más.
  • show cdp entry [nombre_del_vecino]: Muestra la misma información detallada, pero para un vecino específico.

Comandos de configuración de CDP

Aunque CDP está habilitado por defecto, puedes configurarlo según tus necesidades:

  • Habilitar/deshabilitar CDP globalmente: R1(config)# [no] cdp run
  • Habilitar/deshabilitar CDP en interfaces específicas: R1(config-if)# [no] cdp enable
  • Configurar el temporizador CDP (intervalo de envío): R1(config)# cdp timer [segundos]
  • Configurar el tiempo de espera CDP (holdtime): R1(config)# cdp holdtime [segundos]
  • Habilitar/deshabilitar CDPv2: R1(config)# [no] cdp advertise-v2

LLDP es un protocolo estándar de la industria (IEEE 802.1AB), lo que lo convierte en la alternativa interoperable a CDP para entornos de red mixtos. A diferencia de CDP, LLDP suele estar deshabilitado por defecto en dispositivos Cisco y debe habilitarse manualmente. La buena noticia es que un dispositivo puede ejecutar CDP y LLDP simultáneamente.

¿Cómo funciona LLDP?

  • Los mensajes LLDP se envían periódicamente a la dirección MAC de multidifusión 0180.C200.000E.
  • Al igual que CDP, cuando un dispositivo recibe un mensaje LLDP, lo procesa y lo descarta; no lo reenvía a otros dispositivos.
  • Por defecto, los mensajes LLDP se envían cada 30 segundos.
  • El tiempo de espera (holdtime) predeterminado para LLDP es de 120 segundos.
  • LLDP tiene un temporizador adicional llamado “reinitialization delay”. Si LLDP está habilitado (globalmente o en una interfaz), este temporizador retrasará la inicialización real de LLDP. Este retraso es de 2 segundos por defecto.

Información compartida por LLDP

LLDP puede compartir información similar a CDP, pero dado su carácter de estándar, es compatible con una gama más amplia de fabricantes:

  • Hostname del dispositivo.
  • Dirección IP.
  • Descripción del puerto.
  • Capacidades del dispositivo.

Comandos de configuración de LLDP

Dado que LLDP está deshabilitado por defecto en muchos dispositivos, su configuración es clave:

  • Habilitar LLDP globalmente: R1(config)# lldp run
  • Habilitar LLDP en interfaces específicas (transmisión): R1(config-if)# lldp transmit
  • Habilitar LLDP en interfaces específicas (recepción): R1(config-if)# lldp receive
  • Configurar el temporizador LLDP (intervalo de envío): R1(config)# lldp timer [segundos]
  • Configurar el tiempo de espera LLDP (holdtime): R1(config)# lldp holdtime [segundos]
  • Configurar el temporizador de reinicialización LLDP: R1(config)# lldp reinit [segundos]

Comandos de verificación de LLDP

Para verificar el estado y los vecinos de LLDP:

  • R1# show lldp: Muestra información básica de LLDP (timers, versión).
  • R1# show lldp traffic: Muestra cuántos mensajes LLDP han sido enviados y recibidos.
  • R1# show lldp interface: Muestra en qué interfaces está habilitado LLDP tx/rx.
  • R1# show lldp neighbors: Lista los vecinos LLDP y alguna información básica sobre cada vecino.
  • R1# show lldp neighbors detail: Lista cada vecino LLDP con información más detallada.
  • R1# show lldp entry [nombre_del_vecino]: Muestra la misma información anterior, pero para un vecino especificado únicamente.

Consideraciones de seguridad

Es importante mencionar que, debido a que estos protocolos comparten información sobre los dispositivos en la red, pueden ser considerados un riesgo de seguridad. Un atacante podría usar esta información para mapear la red y planificar ataques. Por lo tanto, es responsabilidad del ingeniero o administrador de red decidir si su uso es apropiado o si los beneficios superan los riesgos potenciales en su entorno particular. A menudo, se opta por deshabilitarlos en interfaces de borde o donde la información no es estrictamente necesaria.

🧐 Para acceder a un resumen de comandos de CDP/LLDP consultar Configuración CDP/LLDP