What is DTP (Dynamic Trunking Protocol)? Step-by-Step Beginner Guide

📘 Who is this guide for?

This article is for beginner and junior network engineers who already know the basic switchport mode access and switchport mode trunk commands, but never really paid attention to something called DTP (Dynamic Trunking Protocol).

If you've ever configured a trunk, the link somehow "just worked" and you moved on — this guide will show you what actually happened in the background, and how a small default setting can become a security risk.

1️⃣ Quick recap: Access vs Trunk ports

Before we touch DTP, let's make sure the basics are clear:

• Access Port – Carries traffic for only one VLAN. Used for end devices like PCs, IP phones, printers.
• Trunk Port – Carries traffic for multiple VLANs using tagging (802.1Q). Used between switches, or switch to router (router-on-a-stick).

Typical configs:

interface FastEthernet0/1
 switchport mode access
 switchport access vlan 10

interface FastEthernet0/24
 switchport trunk encapsulation dot1q   <-- (older IOS)
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30

2️⃣ What is DTP (Dynamic Trunking Protocol)?

DTP – Dynamic Trunking Protocol is a Cisco proprietary protocol that allows switch ports to negotiate with each other and decide:

• Should this link become a trunk?
• Or stay as an access link?

So instead of you manually typing switchport mode trunk on both sides, DTP can auto-decide it based on the mode you set.

3️⃣ When does DTP actually work?

DTP only runs when the port is in a dynamic or trunk-capable mode, such as:

switchport mode dynamic desirable
switchport mode dynamic auto
switchport mode trunk

When such a port connects to another switch, it starts sending DTP frames to say: "Hey, do you want to form a trunk with me?" 🤝

4️⃣ DTP port modes – Simple explanation

On a Cisco switch, the important switchport modes related to DTP are:

• access – Force access, no DTP negotiation
• trunk – Force trunk, and by default still sends DTP
• dynamic desirable – Actively tries to form a trunk (sends DTP)
• dynamic auto – Waits passively, agrees to trunk if asked

Desirable vs Auto – who starts the conversation?

• dynamic desirable – "I want a trunk. I will send DTP messages first."
• dynamic auto – "I'm quiet. If someone asks me to be a trunk, I will accept."

Important rule:

• ✅ Desirable + Desirable → Trunk will form
• ✅ Desirable + Auto → Trunk will form
• ❌ Auto + Auto → No trunk (both are waiting, nobody talks)

interface f0/1
 switchport mode dynamic desirable

interface f0/2
 switchport mode dynamic auto
! Result: Trunk forms (desirable initiates)

5️⃣ Why do many engineers ignore DTP?

In many labs and small networks, engineers simply configure:

switchport mode trunk

The link comes up as trunk, everything works, and they move on. But in the background, DTP may still be active and sending frames unless you tell the switch:

switchport nonegotiate

Ignoring DTP is okay in a small lab, but in a production environment it can become a serious security risk.

6️⃣ Security risk: DTP spoofing attack (concept)

Imagine you have an access port going to a user PC. You think: "It's only VLAN 10. No problem."

But if that port is misconfigured (for example left in dynamic auto), and an attacker connects a device that speaks DTP, they can pretend to be a switch and try to negotiate a trunk.

Once the port becomes a trunk, the attacker's device can:

• See traffic from multiple VLANs (depending on allowed VLANs).
• Perform VLAN hopping and sniff sensitive traffic.
• Bypass normal access VLAN isolation.

7️⃣ Best practice: Be explicit, not "dynamic"

The safest rule to remember:

• End-user / PC / printer ports → Force access, disable DTP
• Switch-to-switch / switch-to-router links → Force trunk, disable DTP

Secure Access Port Template

interface FastEthernet0/10
 description User-PC
 switchport mode access
 switchport access vlan 10
 switchport nonegotiate
 spanning-tree portfast
 spanning-tree bpduguard enable

Here, switchport nonegotiate guarantees that DTP frames will not be sent from this port. It will never try to become a trunk.

Secure Trunk Port Template

interface GigabitEthernet0/1
 description Uplink-to-Core-Switch
 switchport trunk encapsulation dot1q   ! (if required by IOS)
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30
 switchport nonegotiate

You are manually forcing the port as a trunk and explicitly defining which VLANs are allowed. DTP is disabled, so no one else can negotiate anything unexpected.

8️⃣ Useful DTP show command

Cisco provides a handy command to check the DTP status on an interface:

Sw# show dtp interface

DTP information for Gig0/1:
  TDN capable:  Yes
  DTP state:    Sending, Negotiating
  Operational Mode: trunk
  ...

This helps confirm whether your port is still participating in DTP negotiation or not.

9️⃣ Step-by-step lab: See DTP in action

You can try this in a simple lab with two Cisco switches:

Step 1 – Default dynamic behavior

SW1(config)# interface f0/1
SW1(config-if)# switchport mode dynamic desirable

SW2(config)# interface f0/1
SW2(config-if)# switchport mode dynamic auto

After connecting these interfaces with a cable, check:

SW1# show interfaces trunk

You should see a trunk formed between SW1 and SW2.

Step 2 – Break the trunk using Auto + Auto

SW1(config)# interface f0/1
SW1(config-if)# switchport mode dynamic auto

SW2(config)# interface f0/1
SW2(config-if)# switchport mode dynamic auto

Now, check again:

SW1# show interfaces trunk   ! <-- no trunk should appear

Step 3 – Force trunk and disable DTP

SW1(config)# interface f0/1
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport nonegotiate

SW2(config)# interface f0/1
SW2(config-if)# switchport mode trunk
SW2(config-if)# switchport nonegotiate

Now the trunk is fully manual, no dynamic negotiation.

🔟 Key takeaways (short summary)

• DTP is a Cisco protocol that negotiates trunking between switch ports.
• dynamic desirable sends DTP actively, dynamic auto waits quietly.
• Auto + Auto = No trunk (both are waiting).
• Leaving DTP on end-user ports can create a serious security risk.
• Best practice: Use switchport mode access + switchport nonegotiate on user ports.
• On uplinks, manually configure trunks and also use switchport nonegotiate if possible.
• Use show dtp interface and show interfaces trunk to verify behavior.

Your network security often starts with what looks like "just a small switchport command". Understanding DTP makes you the kind of engineer who doesn't just copy-paste configs — you actually know what's happening behind the scenes 🔐

📘 এই গাইড কার জন্য?

তুমি যদি CCNA / বেসিক নেটওয়ার্কিং শিখো, সুইচে trunk কনফিগার করো, কিন্তু DTP (Dynamic Trunking Protocol) আসলে কী – সেটা পরিষ্কার না হয়, তাহলে এই আর্টিকেলটা তোমার জন্য।

অনেকেই শুধু লিখে:

switchport mode trunk

লিংক কাজ করলেই খুশি 😊 কিন্তু ব্যাকগ্রাউন্ডে DTP কী করছে, সেটা ইগনোর করলে পরে সিকিউরিটি hole তৈরি হতে পারে।

1️⃣ Access Port vs Trunk Port (একবার ঝালিয়ে নেই)

• Access Port – একটাই VLAN বহন করে (Un-tagged)। সাধারণত PC, Printer, IP Phone ইত্যাদির জন্য।
• Trunk Port – একাধিক VLAN এর ট্রাফিক ট্যাগ করে বহন করে (802.1Q)। সাধারণত Switch-to-Switch / Switch-to-Router লিংকে।

কনফিগের উদাহরণ:

interface FastEthernet0/1
 switchport mode access
 switchport access vlan 10

interface FastEthernet0/24
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30

2️⃣ DTP (Dynamic Trunking Protocol) আসলে কী?

DTP হলো Cisco-এর নিজস্ব (proprietary) একটি প্রোটোকল, যার কাজ:

• দুই পাশের পোর্ট একে অপরের সাথে "কথা বলে" ঠিক করে – trunk হবে নাকি access থাকবে।
• মানে – সবসময় manually trunk না করে, কিছু মোডে ওরা নিজেদের মধ্যে নেগোশিয়েট করে নেয়।

তাই তুমি যদি পোর্টে শুধু dynamic মোড দাও, DTP নিজে থেকেই ঠিক করার চেষ্টা করে – লিংকটা trunk হবে নাকি হবে না।

3️⃣ কখন DTP কাজ করে?

DTP তখনই কাজ করে যখন পোর্ট dynamic বা trunk-capable মোডে থাকে, যেমন:

switchport mode dynamic desirable
switchport mode dynamic auto
switchport mode trunk   ! ডিফল্টভাবে DTP পাঠাতে পারে

এই অবস্থায় পোর্ট সামনের পোর্টকে DTP frame পাঠিয়ে জিজ্ঞেস করে – "চলো Trunk হই?" 🤝

4️⃣ Switchport Mode গুলো – সহজ ভাষায়

• switchport mode access – জোর করে access করে, DTP নেগোশিয়েশন করে না।
• switchport mode trunk – জোর করে trunk করে, কিন্তু সাধারণত DTP পাঠাতে পারে।
• switchport mode dynamic desirable – নিজে থেকে DTP পাঠায়, trunk করতে চায়।
• switchport mode dynamic auto – নিজে থেকে কিছু বলে না; কেউ চাইলে trunk হতে রাজি।

Desirable vs Auto – কে আগে কথা বলে?

• dynamic desirable → "আমি trunk হতে চাই, আমি আগে কথা বলব।"
• dynamic auto → "আমি অপেক্ষা করব, কেউ বললে trunk হব।"

রুল মনে রাখো:

• ✅ Desirable + Desirable → Trunk হবে
• ✅ Desirable + Auto → Trunk হবে
• ❌ Auto + Auto → Trunk হবে না (দুইজনই চুপ থাকে)

5️⃣ কেন অনেকেই DTP নিয়ে ভাবে না?

কারণ তারা শুধু করে:

switchport mode trunk

লিংক আপ, পিং হচ্ছে, VLAN pass হচ্ছে → "বাস, কাজ শেষ" 😄 কিন্তু দুঃখের বিষয়, অনেক সময় DTP তখনও সক্রিয় থাকে এবং ট্রাফিক নেগোশিয়েট করতে পারে।

ল্যাবের জন্য ঠিক আছে, কিন্তু প্রোডাকশনে এই Default অবস্থা রাখা নিরাপদ না।

6️⃣ DTP-এর সিকিউরিটি সমস্যা (সিম্পল অ্যাটাক সিনারিও)

ধরো, এক্সেস পোর্টে একটা ইউজার PC কানেক্টেড। তুমি ভেবেছো – "এটা শুধু VLAN 10, safe।" কিন্তু যদি পোর্ট ভুলবশত dynamic auto থাকে, আর কোনো attacker তার ল্যাপটপ দিয়ে DTP spoof করে, তাহলে সে:

• পোর্টটাকে trunk বানিয়ে ফেলতে পারে।
• multiple VLAN-এর ট্রাফিক দেখতে পারে।
• VLAN hopping attack করতে পারে।

7️⃣ Best Practice – Dynamic নয়, Explicit হও

• End user পোর্ট → Force access + DTP off
• Switch-to-Switch / Switch-to-Router → Force trunk + DTP off

Secure Access Port কনফিগ

interface FastEthernet0/10
 description User-PC
 switchport mode access
 switchport access vlan 10
 switchport nonegotiate
 spanning-tree portfast
 spanning-tree bpduguard enable

Secure Trunk Port কনফিগ

interface GigabitEthernet0/1
 description Uplink-to-Core-Switch
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30
 switchport nonegotiate

এখানে switchport nonegotiate দিয়ে তুমি বলছো – "আমি নিজে trunk ঠিক করেছি, কারও সঙ্গে নেগোশিয়েট করব না।"

8️⃣ দরকারি কমান্ড – DTP স্টেটাস দেখার জন্য

Sw# show dtp interface
! নির্দিষ্ট পোর্টের DTP status দেখাবে

এছাড়াও:

Sw# show interfaces trunk
! কোন কোন পোর্ট trunk অবস্থায় আছে, তা দেখাবে

9️⃣ Step-by-Step Lab – নিজে দেখে শিখো

Step 1 – Dynamic দিয়ে Trunk তৈরি

SW1(config)# interface f0/1
SW1(config-if)# switchport mode dynamic desirable

SW2(config)# interface f0/1
SW2(config-if)# switchport mode dynamic auto

SW1# show interfaces trunk   ! এখানে trunk দেখানো উচিত

Step 2 – Auto + Auto দিয়ে Trunk বন্ধ হওয়া দেখা

SW1(config)# interface f0/1
SW1(config-if)# switchport mode dynamic auto

SW2(config)# interface f0/1
SW2(config-if)# switchport mode dynamic auto

SW1# show interfaces trunk   ! আর trunk দেখা যাবে না

Step 3 – Manually Trunk + DTP Off

SW1(config)# interface f0/1
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport nonegotiate

SW2(config)# interface f0/1
SW2(config-if)# switchport mode trunk
SW2(config-if)# switchport nonegotiate

এখন লিংক trunk, কিন্তু কোনো ধরনের DTP negotiation নেই – সব কিছু তোমার হাতে।

🔟 শেষ কথা – কী মনে রাখবে?

• DTP হচ্ছে Trunk negotiation এর জন্য – auto trunk তৈরি করতে সাহায্য করে।
• dynamic desirable আগে থেকে রিকোয়েস্ট পাঠায়, dynamic auto অপেক্ষা করে।
• Auto + Auto = Trunk না (কারও মুখ খোলে না 😄)
• End user পোর্টে DTP active থাকলে বড় সিকিউরিটি রিস্ক তৈরি হতে পারে।
• Access পোর্টে সর্বদা: switchport mode access + switchport nonegotiate
• Trunk পোর্টে manually trunk + allowed VLAN ঠিকভাবে সেট করো, প্রয়োজনে nonegotiate ব্যবহার করো।
• show dtp interface আর show interfaces trunk দিয়ে সর্বদা verify করো।

ছোট ছোট switchport কমান্ড থেকেই বড় বড় সিকিউরিটি প্রভাব পড়ে। DTP বুঝলে তুমি শুধু "কনফিগ কপি-পেস্ট" ইঞ্জিনিয়ার না, বরং সচেতন নেটওয়ার্ক ইঞ্জিনিয়ার 🔐