Networking/Security: LLDP, CDP, EDP, NDP auf pfSense

Um die üblichen Netzwerkdiscovery-Protokolle zu unterstützen, muss bei der Open-Source-Firewall über die Paketinstallation nachgeholfen werden. Die Paketinstallation ist über das Top-Menu via System>PackageManager zu finden. Aus den verfügbaren Anwendungen ist ladvd auszuwählen. Nach der Installation wird ein sehr breites Portfolio an Protokollen von der pfSense verstanden und gesprochen:

  • LLDP (Link Layer Discovery Protocol)
  • CDP (Cisco Discovery Protocol)
  • EDP (Extreme Discovery Protocol)
  • NDP (Nortel Discovery Protocol)

Damit Daten ausgetauscht werden können, muss der Switch, an den die pfSense angeschlossen ist natürlich auch das Protokoll sprechen (können) und aktiviert haben. Mein Switch spricht auf der Gegenseite aktuell LLDP.

Link-Discovery-Protokolle

Was sind eigentlich diese Protokolle und was tun sie? Kurz gesagt geben sie dem angeschlossenen System folgende Informationen mit und erhalten als „Gegenleistung“, sofern das Protokoll dafür konfiguriert wurde, eben solche Informationen des Gegenüber:

  • System/Chassis-Namen
  • Lokal verbundenes Interface
  • Remote-Interface, über das das System verbunden ist
  • Location-Information
  • Informationen zur verwendeten Hardware bzw. zur Geräteklasse

Konfiguration

Um ladvd zu konfigurieren, muss im Top-Menu über Services>ladvd navigieren.

Service aktivieren und konfigurieren

Der Dienst muss über eine Checkbox aktiviert werden und die dafür aktiven Interfaces ausgewählt werden. Schließlich möchte ich an meinem WAN- oder DMZ-Port beispielsweise bewusst keine Discovery-Protokolle verwenden, damit die Informationen nicht missbraucht werden können.

Per default horcht die pfSense auf allen möglichen Kanälen. Auch dies kann wenn gewünscht über eine Checkbox inaktiv gesetzt werden. Im Silent-Mode werden aktiv keine Pakete gesendet sondern nur empfangen. Schade, dass das nur global geht. Hier sehe ich einen Use-Case wie o.g. für WAN- und DMZ-Interfaces.

Das Management-Interface muss ein physikalisches Interface sein und darf kein VLAN, eine Link-Aggregation oder ähnliches virtuelles Interface sein. Über den Input „System Location“ kann ein Freitext für den Standort der pfSense vergeben werden.

Nun müssen noch die Dienste aktiviert werden, auf denen gehorcht werden soll. In meinem Fall sind das LLDP und CDP,  da ich bisher mit Extreme und Nortel kaum Berührungspunkte hatte. CDP wird mittlerweile übrigens auch von HP-ProCurve-Geräten und Brocade-Systemen gesprochen und verstanden.

Output

Über die Web-GUI wie über die CLI erhält man folgenden Output. Darin ist zu erkennen, dass über das Protokoll LLDP das lokale Interface re2 verbunden ist mit der Port-ID eth 4 auf Switchseite. Sofern der Hersteller bzw. der Admin die Information pflegen, erkennt man über die Capability auch, um welche Geräteklasse es sich handelt. Bei Enterprise-Geräten ist hier gewöhnlich der Capability Code gepflegt. Bei meinem Switch leider nicht.

Wofür die Informationen?

Ist ein Netzwerk nicht ausreichend dokumentiert oder unterliegt es viel Dynamik, kann so recht einfach nachvollzogen werden, wie die Systeme miteinander verbunden sind. So kann man sich nach und nach von einem zum anderen Gerät hangeln und eine immer umfangreichere Topologie-Dokumentation anlegen.

9 Gedanken zu „Networking/Security: LLDP, CDP, EDP, NDP auf pfSense

    1. Hi,

      Thank you for your comment and your praising words. It´s great to get responses like this.
      Our first aim is, to serve quality based content and provide reliable informations in topics we cover.
      If you´re interested follow us on Facebook, twitter or via mail.

      Kind regards,
      nugaxstruxi.de

  1. I have been surfing on-line greater than three hours these days, yet I by no means discovered any fascinating article like yours.
    It’s lovely worth sufficient for me. In my view, if all web
    owners and bloggers made excellent content as you did, the internet might be much more useful than ever before.

    1. H!

      Thanks for your friendly feedback referring to articles I´ve published.
      You´re right, not every blogger posts founded content like me, but my first aim is to achieve added value for my readers and followers.
      Comments like these are great, because they keep me going on with this.

      If you´ve got some ideas or wishes to get informations about, post it in a comment.
      I´ll refer to it after my yet planned content for the next weeks.

      If you want to, follow me on twitter or facebook or via mail. It´s not just tech-related content but it´s the majority of content, I write about.

      Thanks, keep curious,
      nugaxstruxi.de

  2. Hello there! I could have sworn I’ve been to your blog before but
    after looking at many of the articles I realized it’s new to me.
    Regardless, I’m definitely pleased I stumbled
    upon it and I’ll be bookmarking it and checking back often!

  3. Hiya very nice site!! Guy .. Beautiful .. Amazing
    .. I’ll bookmark your web site and take the feeds additionally?
    I’m glad to search out so many useful info here within the put up,
    we want work out extra techniques in this regard, thanks for sharing.
    . . . . .

  4. It’s a shame you don’t have a donate button!
    I’d certainly donate to this fantastic blog! I guess for now i’ll settle for book-marking and adding your RSS feed to my Google account.
    I look forward to fresh updates and will share
    this site with my Facebook group. Talk soon!

  5. Excellent pieces. Keep writing such kind of info on your page.
    Im really impressed by your site.
    Hey there, You’ve performed an incredible job.
    I will certainly digg it and individually recommend
    to my friends. I am sure they will be benefited from this web site.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.