nonegotiate és auto???
Sokakben felmerülhet a kérdés hogy ha nonegotiate-et bekapcsoljuk mégis hogyan fog a speed auto és duplex auto működni. Márpedig igenis működik akkor is. Két auto-auto eszköz full-duplex és a legmagasabb elérhető sebessében fog megegyezni.
Valójában a nonegotiate nem a speed és duplex automatikus megállapítását kapcsolja ki, hanem a DTP-t.
A DTP pedig azt hivatott eldönteni, hogy a két eszköz maga döntse el hogy trunk kapcsolat legyen-e kettőjük között vagy ne. Ezt pedig ugye mindig ki akarjuk kapcsolni, nehogy véletlen trunk épüljön ki a tudtunk nélkül, és ezáltal a felhasználó a saját eszközével bármely VLAN-ba bele tudja magát helyezni.
DTP beállításairól az alábbi cikkem beszél: http://www.ciscoworld.hu/cisco-switch-trunk-port-modok/
Az igazi veszély akkor áll fent ha egy felhasználóhoz menő porton a DTP-t bekapcsolva marad. Ameddig PC van a portra csatlakoztatva addig access mód lesz a switchport, mivel a PC nem fog DTP csomagokat küldeni, se válaszolni rá. Viszont ha a felhasználó hoz egy switchet, ami DTP-t beszél, és azt dugja be a fali csatlakozóba, majd a saját gépét dugja bele a saját switchébe, akkor a mi switchünk és a felhasználó switche jó eséllyel trunk kapcsolatot fog kialakítani:
Corporate switch: ha akarsz trunk lenni, lehetünk trunk?
User switch: akarok trunk lenni, legyünk trunk?
Ettől a pillanattól a két switch között bármely VLAN forgalma átmehet a switchen. Ha nagyon szerencsétlenek vagyunk és a felhasználó switch VTP információkat is küld, magasabb revízió számmal, akkor a VLAN adatbázisunk is borulhat.
A saját switchén a felhasználó persze bármely VLAN-ba bele tudja tenni a gépének a portját, és mivel a trunk porton bármely VLAN kereszül mehet alapértelmezésben, a felhasználó bármely VLAN-ba bele tudja tenni saját magát.
Ezt elkerülendő érdemes fixen meghatározni hogy mely portok access illetve trunk módúak, és a DTP-t ki is kapcsolhatjuk ez esetben, mert teljesen felesleges DTP csomagokat küldözgeti, hiszen már mi eldöntöttük melyik portnak minek kell lennie.