CDP vs. LLDP: Nachbarschaften in Cisco Netzwerken verstehen

Wer Cisco Netzwerke betreibt, stößt früher oder später auf „Nachbarn“: Welcher Switch hängt an welchem Port? Wo steckt der Access Point? Ist am Uplink wirklich der richtige Distribution-Switch? Genau für diese Transparenz gibt es Discovery-Protokolle. Zwei Namen dominieren den Alltag: CDP vs. LLDP. CDP (Cisco Discovery Protocol) ist proprietär von Cisco und in Cisco-Umgebungen seit Jahren ein zuverlässiger Standard, um Nachbarschaften schnell zu erkennen. LLDP (Link Layer Discovery Protocol) ist dagegen ein offener IEEE-Standard, der herstellerübergreifend funktioniert und in heterogenen Netzen oft die bessere Wahl ist. Beide Protokolle senden regelmäßig Informationen über die direkte Layer-2-Nachbarschaft (Hop-by-Hop), wie Gerätetyp, Interface, Management-IP oder Fähigkeiten. In der Praxis spart das enorm Zeit bei Inbetriebnahme, Dokumentation und Troubleshooting. Gleichzeitig haben CDP und LLDP auch eine Security-Dimension: Sie verraten Informationen über Ihre Infrastruktur und sollten daher bewusst aktiviert, eingeschränkt oder auf externen Ports deaktiviert werden. Dieser Artikel hilft Ihnen, Nachbarschaften in Cisco Netzwerken verstehen zu können: Sie lernen die wichtigsten Unterschiede, typische Anwendungsfälle, relevante Befehle zur Anzeige und Diagnose sowie Best Practices für sichere und stabile Konfigurationen in Campus-, Data-Center- und VoIP/WLAN-Szenarien.

Was sind CDP und LLDP überhaupt?

CDP und LLDP sind Layer-2-Discovery-Protokolle. Sie funktionieren lokal auf einem Link und helfen, direkt verbundene Geräte zu identifizieren. Das bedeutet: Ein Switch erkennt Geräte, die unmittelbar an seinen Ports angeschlossen sind. Beide Protokolle arbeiten in der Regel mit periodischen Advertisements, die Informationen in Form von „Feldern“ (CDP) bzw. „TLVs“ (Type-Length-Value bei LLDP) übertragen.

• CDP: Cisco-proprietär, primär für Cisco zu Cisco, wird aber teilweise auch von Drittanbietern unterstützt.
• LLDP: IEEE-Standard (802.1AB), herstellerneutral und damit ideal für Mixed-Vendor-Umgebungen.

Wenn Sie tiefer in die Spezifikation einsteigen möchten, ist der Anchor-Text IEEE 802.1AB (LLDP) eine gute Referenz. Für CDP bietet Cisco einen Überblick über den Anchor-Text Cisco CDP Grundlagen.

Warum Discovery-Protokolle im Betrieb so wertvoll sind

Auch in gut dokumentierten Netzwerken sind Discovery-Protokolle ein praktischer „Reality Check“. Typische Situationen, in denen CDP/LLDP Zeit sparen:

• Fehlverkabelung finden: Ein Uplink steckt im falschen Port, ein Patchfeld ist vertauscht.
• Topologie schnell erfassen: Welche Switches hängen an welchem Distribution-Switch?
• WLAN- und VoIP-Integration: APs und IP-Telefone liefern über LLDP/CDP relevante Informationen (z. B. Device-Type, teilweise PoE-/Voice-VLAN-Hinweise).
• Asset-Management: Geräteerkennung und Abgleich mit Inventar.
• Fehlersuche an Ports: „Was hängt an Gi1/0/23?“ lässt sich in Sekunden beantworten.

Wichtig ist dabei die Erwartung: CDP/LLDP ersetzen keine vollständige Dokumentation, aber sie beschleunigen die tägliche Arbeit und reduzieren menschliche Fehler.

CDP vs. LLDP: Die wichtigsten Unterschiede im Überblick

Beide Protokolle lösen ein ähnliches Problem, unterscheiden sich aber in Philosophie und Einsatzbreite.

• Standardisierung: CDP ist Cisco-proprietär; LLDP ist IEEE-standardisiert.
• Interoperabilität: LLDP funktioniert zuverlässig über Herstellergrenzen hinweg; CDP ist in Cisco-Netzen am stärksten.
• Informationsstruktur: LLDP arbeitet konsequent mit TLVs; CDP hat ein eigenes Feldformat.
• Erweiterungen: LLDP hat standardisierte Erweiterungen wie LLDP-MED (z. B. für VoIP/Standortinformationen); CDP liefert ebenfalls umfangreiche Infos, besonders in Cisco-Ökosystemen.
• Security-Betrachtung: Beide können sensible Informationen preisgeben; bei LLDP gibt es häufig feinere Steuerung über TLVs/Policies (plattformabhängig).

Als Praxisregel gilt: In reinen Cisco-Umgebungen ist CDP oft „einfach da“ und sehr nützlich. In gemischten Netzen ist LLDP meist die bessere Grundlage, weil es herstellerneutral ist.

Welche Informationen liefern CDP und LLDP typischerweise?

Die konkreten Felder hängen vom Gerät und der Plattform ab, aber diese Informationen sind häufig verfügbar:

• Nachbarname/Hostname und Device-ID
• Lokaler Port (z. B. Gi1/0/49) und Remote Port (z. B. Te1/1/1)
• Gerätetyp/Capabilities (Switch, Router, Phone, WAP)
• Management-IP (wenn konfiguriert/unterstützt)
• Plattform/Modell und teilweise Software-Version
• VLAN-/Voice-bezogene Hinweise (je nach Erweiterung und Gerät)

Im Troubleshooting sind vor allem Port-zu-Port-Zuordnung und Gerätetyp entscheidend. Für Inventory und Betrieb sind Plattform/Version und Management-IP oft besonders hilfreich.

LLDP-MED: Besonders wichtig für VoIP und Standortinformationen

Ein großer Vorteil von LLDP im Enterprise-Umfeld ist LLDP-MED (Media Endpoint Discovery). LLDP-MED ist eine Erweiterung, die speziell für Media-Endgeräte wie IP-Telefone gedacht ist. Sie kann Informationen zu Netzwerkpolicy (z. B. Voice VLAN), Gerätekategorie und Standortdaten transportieren. In vielen Umgebungen ist LLDP-MED deshalb der „saubere“ Weg, um herstellerübergreifend VoIP-Endgeräte zu unterstützen, ohne sich ausschließlich auf CDP zu verlassen.

Wenn Sie LLDP-MED konzeptionell nachschlagen möchten, eignet sich als Einstieg der Anchor-Text ETSI Standards (LLDP-MED Umfeld). In der Praxis ist jedoch wichtiger, was Ihre Switchplattform tatsächlich unterstützt und wie Ihre Telefone konfiguriert sind.

Konfiguration in Cisco IOS/IOS XE: CDP aktivieren oder deaktivieren

CDP ist auf vielen Cisco Switches standardmäßig aktiv. Sie können CDP global oder pro Interface steuern.

CDP global aktivieren/deaktivieren

configure terminal
cdp run
end

configure terminal
no cdp run
end

CDP pro Interface steuern

configure terminal
interface GigabitEthernet1/0/49
cdp enable
end

configure terminal
interface GigabitEthernet1/0/1
no cdp enable
end

Best Practice: CDP auf externen Ports (z. B. zu Provider, untrusted DMZ, fremde Netze) häufig deaktivieren, um Informationsabfluss zu reduzieren. Auf internen Infrastrukturports (Switch-zu-Switch, AP, Telefon) kann CDP sehr nützlich sein.

Konfiguration in Cisco IOS/IOS XE: LLDP aktivieren oder deaktivieren

LLDP ist häufig nicht auf allen Plattformen standardmäßig aktiv oder wird bewusst eingeschaltet, wenn Mixed-Vendor-Geräte beteiligt sind. Auch LLDP lässt sich global und pro Interface steuern.

LLDP global aktivieren

configure terminal
lldp run
end

LLDP pro Interface steuern

LLDP unterscheidet häufig zwischen Senden und Empfangen. So können Sie z. B. nur „empfangen“ erlauben, um Nachbarn zu sehen, aber selbst keine Informationen zu senden (plattformabhängig).

configure terminal
interface GigabitEthernet1/0/10
lldp transmit
lldp receive
end

configure terminal
interface GigabitEthernet1/0/1
no lldp transmit
no lldp receive
end

Praxisregel: In sensiblen Umgebungen kann es sinnvoll sein, LLDP nur in der Infrastrukturzone zuzulassen und auf User-Access-Ports restriktiv zu sein – insbesondere, wenn externe Geräte oder Gästeports existieren.

Die wichtigsten Show-Befehle: Nachbarn anzeigen und interpretieren

Für den Alltag sind die „show“-Befehle entscheidend. Sie liefern die tatsächliche Nachbarschaftslage unabhängig davon, wie gut Dokumentation oder Patchpläne sind.

CDP Nachbarn anzeigen

show cdp neighbors
show cdp neighbors detail

• show cdp neighbors zeigt schnell Port-zu-Port und Device-ID.
• detail ergänzt Management-IP, Plattform, Capabilities und weitere Informationen.

LLDP Nachbarn anzeigen

show lldp neighbors
show lldp neighbors detail

• show lldp neighbors liefert die Basisübersicht.
• detail zeigt zusätzliche TLVs, z. B. Systembeschreibung, Management-Adresse oder Policy-Infos.

Best Practice: Nutzen Sie im Troubleshooting zuerst die Kurzansicht für Orientierung und dann „detail“ für tiefergehende Informationen, etwa um Management-IP oder Softwarestände zu sehen.

Typische Einsatzszenarien im Cisco Campus

In Campus-Netzwerken sind CDP und LLDP oft Teil der täglichen Betriebsroutine. Besonders typische Szenarien:

• Access zu Distribution: Uplinks prüfen, Root-Bridge-Design nachvollziehen, EtherChannel-Partner identifizieren.
• WLAN Access Points: AP-Port finden, PoE-Probleme eingrenzen, AP-Typ erkennen.
• VoIP-Telefone: Telefon erkannt, Standort/Voice-VLAN-Informationen über LLDP-MED oder CDP unterstützen.
• Gerätewechsel: Wenn ein Switch getauscht wurde, prüfen Sie schnell, ob alle Uplinks wieder korrekt stecken.

Gerade in großen Umgebungen ist Discovery ein „Sicherheitsnetz“ gegen Verkabelungsfehler. Dennoch sollten Sie nicht überall blind aktivieren, sondern bewusst segmentieren.

Security-Perspektive: Informationsabfluss und Hardening

Discovery-Protokolle sind hilfreich, aber sie können auch Informationen preisgeben: Hostnames, Plattformen, Softwarestände und Management-IPs sind für Angreifer wertvoll, weil sie Reconnaissance erleichtern. Deshalb gehört zu einem sauberen Hardening-Ansatz eine bewusste CDP/LLDP-Policy.

• Extern/Untrusted: CDP/LLDP häufig deaktivieren (Provider-Ports, Internet-Edges, DMZ-Uplinks).
• Interne Infrastruktur: Aktiv lassen, aber nur dort, wo Nutzen hoch ist (Uplinks, AP, Telefon).
• User-Access: Abwägen; bei reinen PC-Ports ist Discovery oft nicht zwingend nötig.
• Logging und Monitoring: Ungewöhnliche Nachbarschaften können auf Rogue Switches hinweisen.

Als ergänzender Rahmen für Security-Basics und Härtung eignet sich der Anchor-Text CIS Controls, weil dort Prinzipien wie Angriffsfläche reduzieren und Monitoring strukturiert beschrieben sind.

CDP vs. LLDP im Mixed-Vendor-Netz

Sobald nicht nur Cisco im Spiel ist, wird LLDP besonders wertvoll. Typische Beispiele:

• Server mit NICs, die LLDP sprechen (z. B. für Switchport-Profiling)
• Non-Cisco Switches in Randbereichen oder Sondernetzen
• WLAN-Infrastruktur oder VoIP-Endgeräte anderer Hersteller

In solchen Umgebungen ist es sinnvoll, LLDP als „Baseline-Discovery“ einzusetzen. CDP kann parallel aktiv bleiben, wenn Cisco-zu-Cisco-Mehrwerte genutzt werden (z. B. reichere Informationen in rein Cisco Segmenten). Wichtig ist, dass Sie im Betrieb klar dokumentieren, welche Discovery-Quelle „maßgeblich“ ist, um Verwirrung zu vermeiden.

Troubleshooting mit CDP/LLDP: Häufige Probleme und schnelle Checks

Wenn Nachbarn nicht angezeigt werden, ist die Ursache meist eine der folgenden:

• Protokoll nicht aktiv: LLDP nicht global gestartet (lldp run) oder CDP global deaktiviert (no cdp run).
• Interface deaktiviert: LLDP transmit/receive oder CDP enable wurde auf dem Port abgeschaltet.
• Port down: Kein Link, keine Discoveries.
• Zwischenkomponente: Media-Converter oder bestimmte Security-Appliances können Discovery-Frames blocken.
• VLAN/Trunk-Thematik: In seltenen Fällen beeinflussen bestimmte L2-Policies oder Port-Security das Verhalten.

Praktischer Diagnosepfad:

• show interfaces status (Link up?)
• show lldp und show cdp (Globalstatus und Timer)
• show lldp neighbors detail oder show cdp neighbors detail (Nachbarn vorhanden?)
• show running-config interface ... (LLDP/CDP pro Port deaktiviert?)

Best Practices: Sinnvolle Standardkonfiguration im Campus

Ein praxistauglicher Ansatz für viele Campus-Netze ist ein „Zonenmodell“: Infrastrukturports haben Discovery aktiv, externe/untrusted Ports nicht. Das reduziert Informationsabfluss und behält die Vorteile im Betrieb.

• Uplinks/Trunks: LLDP (und ggf. CDP) aktiv für schnelle Topologieübersicht.
• AP-Ports: LLDP aktiv (für herstellerübergreifende APs), CDP optional für Cisco APs.
• Telefon-Ports: LLDP-MED oder CDP – abhängig von Telefonflotte und Policy.
• Provider/DMZ: CDP/LLDP meist deaktivieren.
• User-Ports: Abwägen; bei reinen PC-Ports oft deaktivierbar, sofern kein Bedarf besteht.

Beispiel: Externen Uplink-Port absichern, indem Sie Discovery deaktivieren:

configure terminal
interface GigabitEthernet1/0/52
description Uplink-Provider
no cdp enable
no lldp transmit
no lldp receive
end

Beispiel: Interne Infrastrukturports aktiv halten:

configure terminal
interface GigabitEthernet1/0/49
description Uplink-Distribution
cdp enable
lldp transmit
lldp receive
end

Dokumentation und Betrieb: Nachbarschaften sinnvoll nutzen

CDP/LLDP sind nicht nur „Show-Befehle“, sondern können aktiv zur Qualitätssicherung beitragen:

• Automatisierte Topologieerkennung: Viele NMS/Monitoring-Tools nutzen LLDP/CDP, um Topologiegraphen zu erstellen.
• Port-Labeling: In Access-Switches können Ports anhand der Nachbarn leichter korrekt beschrieben werden.
• Fehlersuche beschleunigen: Bei Tickets („Port X geht nicht“) ist sofort sichtbar, ob das richtige Gerät angeschlossen ist.
• Security-Hinweise: Ein unerwarteter Nachbar (z. B. ein unbekannter Switch) ist ein starkes Indiz für Rogue-Hardware.

Wenn Sie Discovery-Daten in Monitoring integrieren möchten, ist es sinnvoll, diese Daten zusammen mit Syslog und SNMP auszuwerten. Damit erhalten Sie sowohl Ereignisse (Syslog) als auch Zustand/Topologie (SNMP/LLDP/CDP) in einem Gesamtbild.

Praxis-Checkliste: CDP vs. LLDP richtig einsetzen

• Ist Ihr Netz rein Cisco oder Mixed-Vendor? (Mixed-Vendor spricht für LLDP als Standard.)
• Sind CDP und/oder LLDP global aktiv, wo sie gebraucht werden (cdp run, lldp run)?
• Sind Discovery-Protokolle auf externen/untrusted Ports bewusst deaktiviert (Provider/DMZ)?
• Nutzen Sie LLDP-MED oder CDP für VoIP/WLAN dort, wo es betrieblich Mehrwert bringt?
• Können Sie Nachbarn schnell verifizieren (show cdp neighbors, show lldp neighbors)?
• Ist die Namenskonvention (Hostname/Interface-Description) konsistent, damit Discovery-Ausgaben leicht interpretierbar sind?
• Werden unerwartete Nachbarn als Security-Signal behandelt (Monitoring/Prozesse)?

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.