Cisco 스위치 CDP 활성화 및 비활성화 기준
들어가며
Cisco 스위치를 운영하다 보면 장비 간 연결 상태를 빠르게 확인해야 하는 상황이 자주 발생한다. 특히 여러 대의 스위치와 라우터, IP Phone, 무선 AP 등이 연결된 환경에서는 어떤 장비가 어느 포트에 연결되어 있는지 파악하는 것이 매우 중요하다.
이때 Cisco 장비에서 기본적으로 제공하는 기능이 바로 CDP(Cisco Discovery Protocol)이다.
CDP는 Cisco에서 자체 개발한 Layer 2 기반의 장비 탐색 프로토콜로, 인접한 Cisco 장비 정보를 자동으로 수집하고 표시해 준다. 이를 통해 연결된 장비의 모델명, IP 주소, IOS 버전, 연결 포트 등의 정보를 쉽게 확인할 수 있다.
하지만 모든 환경에서 CDP를 활성화하는 것이 정답은 아니다. 내부 네트워크에서는 매우 유용한 기능이지만 외부망, DMZ, 고객망, 협력사망과 연결되는 구간에서는 보안상의 이유로 비활성화하는 것이 권장되기도 한다.
이번 글에서는 Cisco 스위치의 CDP 기능이 무엇인지, 활성화해야 하는 경우와 비활성화해야 하는 경우는 무엇인지, 그리고 실무에서 어떤 기준으로 운영해야 하는지 자세히 알아보겠다.
CDP란 무엇인가?
CDP(Cisco Discovery Protocol)는 Cisco 장비 간 인접 장비 정보를 교환하는 프로토콜이다.
OSI 계층 기준으로는 Layer 2에서 동작한다.
특징은 다음과 같다.
- Cisco 전용 프로토콜
- 기본 활성화 상태
- Layer 2 기반 동작
- 인접 장비 정보 자동 수집
- 네트워크 토폴로지 확인 가능
예를 들어 다음과 같은 환경이 있다고 가정하자.
Core Switch
│
Access Switch
│
APCore Switch에서 다음 명령어를 실행하면
show cdp neighbors연결된 Access Switch 정보를 확인할 수 있다.
CDP를 통해 확인 가능한 정보
CDP는 생각보다 많은 정보를 제공한다.
확인 명령어
show cdp neighbors detail출력 예시
Device ID: ACCESS-SW01
IP Address: 192.168.99.11
Platform: WS-C2960X
Capabilities: Switch
Interface: Gi1/0/48
Port ID: Gi1/0/24확인 가능한 정보
Hostname
IP Address
IOS Version
장비 모델
연결 포트
장비 종류장애 분석 시 매우 유용하다.
CDP 활성화 상태 확인 방법
현재 상태 확인
show cdp출력 예시
CDP is enabled인터페이스별 확인
show cdp interface특정 포트에서 CDP가 동작하는지 확인 가능하다.
CDP 활성화가 필요한 경우
내부 네트워크 운영 환경
가장 대표적인 활용 사례이다.
예시
Core Switch
Distribution Switch
Access Switch수십 대 이상의 Cisco 장비가 연결된 환경에서는 CDP가 매우 유용하다.
확인 명령어
show cdp neighbors만으로도 연결 구조를 빠르게 파악할 수 있다.
장애 분석 시
예를 들어 Access Switch가 어느 Core 장비에 연결되어 있는지 모르는 경우가 있다.
이때
show cdp neighbors를 실행하면
연결 장비
연결 포트를 즉시 확인할 수 있다.
장애 대응 시간이 크게 단축된다.
신규 구축 및 증설 작업
네트워크 구축 후 포트 연결 상태를 검증할 때도 유용하다.
예시
Core SW
↓
Access SW예상과 다른 포트에 연결된 경우 즉시 확인 가능하다.
IP Phone 운영 환경
Cisco IP Phone은 CDP를 활용하는 대표적인 장비이다.
예시
PC
↓
IP Phone
↓
SwitchCDP를 통해 Voice VLAN 정보를 전달할 수 있다.
설정 예시
switchport voice vlan 20일부 환경에서는 CDP 비활성화 시 전화기가 정상 동작하지 않을 수 있다.
CDP 비활성화가 필요한 경우
인터넷 회선 연결 포트
다음과 같은 환경을 생각해보자.
ISP Router
│
Cisco SwitchISP 장비에 불필요한 장비 정보가 노출될 수 있다.
예를 들어
Hostname
IOS Version
IP Address
Model정보가 외부로 전달될 가능성이 있다.
따라서 인터넷 회선 연결 포트에서는 비활성화를 권장한다.
DMZ 구간
예시
Firewall
│
DMZ Server ZoneDMZ는 외부와 내부 사이의 중간 영역이다.
CDP 정보가 노출될 경우 공격자가 네트워크 구조를 파악하는 데 활용할 수 있다.
고객사 연결 구간
MSP 또는 유지보수 업체 환경에서 자주 발생한다.
고객사 장비
│
우리 스위치고객사 장비에 내부 네트워크 정보가 노출될 필요는 없다.
이 경우 CDP 비활성화를 권장한다.
협력사망 연결 구간
예시
본사 네트워크
│
협력사 네트워크상호 간 장비 정보를 노출하지 않는 것이 보안상 유리하다.
전체 CDP 활성화 및 비활성화 방법
전체 활성화
Switch(config)# cdp run확인
show cdp전체 비활성화
Switch(config)# no cdp run결과
모든 인터페이스 CDP 중지인터페이스별 CDP 설정
실무에서는 전체 비활성화보다 포트 단위 제어를 더 많이 사용한다.
특정 포트 활성화
interface GigabitEthernet1/0/24
cdp enable특정 포트 비활성화
interface GigabitEthernet1/0/48
no cdp enable실무에서 가장 많이 사용하는 방식이다.
실무 권장 구성
예시 환경
Gi1/0/1~47
내부 스위치 연결
Gi1/0/48
인터넷 회선 연결설정
interface GigabitEthernet1/0/48
no cdp enable내부 포트는 유지
CDP 활성외부 포트만 차단
CDP 비활성LLDP와 CDP 차이점
최근에는 LLDP도 많이 사용된다.
CDP
Cisco 전용LLDP
국제 표준
IEEE 802.1AB예시
Cisco
Aruba
Juniper
HPE혼합 환경에서는 LLDP가 더 적합할 수 있다.
활성화
lldp run확인
show lldp neighborsCDP 관련 주요 확인 명령어
인접 장비 확인
show cdp neighbors상세 정보
show cdp neighbors detail인터페이스 상태
show cdp interfaceCDP 상태
show cdp통계 정보
show cdp traffic장애 분석 시 자주 사용하는 명령어들이다.
CDP 사용 시 주의사항
외부망 연결 포트 점검
다음 포트는 비활성화 검토
인터넷 회선
고객사 회선
협력사 회선
DMZ 구간정기 보안 점검 수행
확인
show cdp neighbors detail예상하지 못한 장비가 연결되어 있는지 확인한다.
LLDP 병행 검토
멀티벤더 환경에서는
CDP + LLDP를 함께 사용하는 경우가 많다.
보안 정책 준수
일부 금융권과 공공기관은 외부 연결 인터페이스에서 CDP 비활성화를 요구한다.
보안 정책을 반드시 확인해야 한다.
실무 예제
기업 네트워크 구성 예시
Core Switch
Access Switch
Firewall
Internet Router권장 설정
cdp run
interface GigabitEthernet1/0/48
no cdp enable결과
내부 장비 정보 확인 가능
외부 장비 정보 노출 차단운영 편의성과 보안성을 모두 확보할 수 있다.
마무리
CDP는 Cisco 네트워크 운영에서 매우 유용한 관리 도구이다. 인접 장비의 IP 주소, 모델명, 연결 포트, IOS 버전 등을 빠르게 확인할 수 있어 장애 분석과 구축 작업의 효율성을 크게 향상시킨다.
하지만 CDP는 장비 정보를 상대 장비에 전달하는 기능이므로 모든 포트에서 무조건 활성화하는 것은 바람직하지 않다. 특히 인터넷 회선, DMZ, 고객사망, 협력사망과 연결된 인터페이스에서는 보안상의 이유로 비활성화를 고려해야 한다.
실무에서는 일반적으로 내부 스위치 간 연결 구간에서는 CDP를 활성화하고, 외부 네트워크와 연결되는 포트에서는 비활성화하는 방식이 가장 많이 사용된다. 이러한 기준을 이해하고 운영한다면 네트워크 관리 효율성과 보안 수준을 동시에 향상시킬 수 있다.