Difference between revisions of "Cisco VTP"

From HackerNet
Jump to: navigation, search
Line 69: Line 69:
 
* Stöd för private och extended vlan, dvs över 1005.  
 
* Stöd för private och extended vlan, dvs över 1005.  
 
* Off mode, alla VTP-meddelanden droppas, globalt eller per interface.
 
* Off mode, alla VTP-meddelanden droppas, globalt eller per interface.
* Stöd för mer än bara VLAN-databassynk, t.ex. [[Cisco_MST|MST]] konfiguration.
+
* Stöd för mer än bara VLAN-databassynk, det finns även en instans för [[Cisco_MST|MST]]-konfiguration.
 
* Serverrollen, se nedan.
 
* Serverrollen, se nedan.
  
Kör man v1/v2 på ena sidan och v3 på den andra kommer v3 känna av det och återgå till v2 vilket tvingar den första switchen att använda v2-only.
+
Kör man v1/v2 på ena sidan och v3 på den andra kommer v3 känna av det och återgå till v2 vilket tvingar den första switchen att använda v2-only. Med VTPv3 introduceras ''primary server'' och det är bara dennes VLAN-databas som får modifieras och skickas ut i domänen. Alla andra servrar blir secondary. Vilken switch som är primary server måste switcharna vara eniga om för att kommunicera. Är switchar oeniga blir det konflikt och ingen databas synkas, '''show vtp devices conflicts'''. Detta minskar ytterliggare risken för att oavsiktligt skriva över en VLAN-databas.  
Med VTPv3 introduceras ''primary server'' och det är bara dennes VLAN-databas som får modifieras och skickas ut i domänen. Alla andra servrar blir secondary. Vilken switch som är primary server måste switcharna vara eniga om för att kommunicera. Är switchar oeniga blir det konflikt och ingen databas synkas. Detta minskar ytterliggare risken för att oavsiktligt skriva över en VLAN-databas. För att bli primary krävs lösenord.
+
 
 +
För att bli primary krävs lösenord.
 
  vtp primary
 
  vtp primary
  
 
Verify
 
Verify
 
  show vtp status enhanced
 
  show vtp status enhanced
show vtp devices conflicts
 
 
  show vtp devices feature
 
  show vtp devices feature
 
  show vtp counters
 
  show vtp counters

Revision as of 15:40, 7 May 2016

VTP står för VLAN Trunking Protocol men tänk VLAN Management Protocol då det används för att managera VLAN-databaser på flera switchar samtidigt från en switch. Det går endast över ISL/802.1q-länkar så trunk mellan switcharna är ett måste. VTP annonserar VLAN ID, namn, typ och tillstånd men dock inget om vilka portar som tillhör vilket VLAN. VTP jobbar med revisionsnummer för att veta vilka databas som är korrekt uppdaterad, högre revisionsnummer vinner. Se även Cisco VLAN.

OBS VTP har potentialen att sänka en hel miljö på några enstaka sekunder, förstå hur det fungerar och räkna med riskerna.

Pakettyper

Gäller VTPv1 och v2.
Summary advertisements
Skickas av server och client var 5 minut eller vid VLAN-modifikation och innehåller allt utom själva VLAN-databasen. Innehåller VTP domain name, revision number, identity of last updater, time stamp of last update, MD5 sum of VLAN database, VTP password och antalet efterkommande Subset advertisements.

Subset advertisement
Skickas ut efter en VLAN-förändring och innehåller hela databasen. Kan dock behövas flera paket ifall det är en stor databas.

Advertisement requests
Skickas av server och client när de vill ha hela VLAN-databasen, t.ex. när de får in en Summary Advertisement med högre revisionsnummer. Skickas även av klienter när de startas om eller blir client.

VTP join messages
Skickas av server och client var 6 sekund om pruning är påslaget. Berättar om vilka VLAN som är aktiva.

Versioner

VTP finns i version 1, 2 och 3. VTPv1 är default.

Skillnader mellan v1 och v2.

  • Stöd för diverse Token Ring VLAN
  • Stöd för unknown TLV records, v1 ignorerar dessa.
  • VLAN-databasen konsistenscheckas ej om ändringen kommer med VTP. Implementation optimization.

Konfiguration

vtp version [version]

VTP Modes

Server

På VTP-servrar skapar, modifierar och tar man bort VLAN, detta propageras sedan ut till klienter och övriga servrar. Detta är default för Cisco IOS men uppdateringar skickas inte förrens VTP domain är konfigurerat. Uppdateringar accepteras från server och client och VLAN sparas i vlan.dat.

Client

Behöver ej ha VTP domain konfigurerat utan tar det från den första VTP-uppdateringen som tas emot. Dock måste vtp mode client konfigureras. Uppdateringar accepteras från server och client och VLAN sparas i vlan.dat. Eftersom klienter originerar uppdateringar kan en klient med högre revisionsnummer uppdatera databasen på en server.

Transparent

Med vtp mode transparent så sparas alla vlan i running config och vlan.dat

Off

Finns endast med VTPv3 och stänger av VTP-forwarding helt.

Konfiguration

vtp mode [mode]

VTP Domain

Domän måste vara samma på alla annars ignoreras updates. Byt namn på domän för att resetta revision number.

vtp domain [domain]
show vtp status

Använd lösenord för att skydda din miljö annars kan t.ex. domäner propagera till switchar automatiskt. Detta skyddar ej mot eavesdropping utan endast mot unauthorized switches. En MD5-summa räknas fram av VLAN-databasen och lösenordet för att sedan skickas med Summary advertisement. Hidden password är VTPv3 only och då hashas lösenordet i vlan.dat också.

vtp password [password] {hidden|secret}
show vtp password

VTP Pruning

VTP pruning erbjuder en dynamisk mekanism som automatisk konfigurerar vilka VLAN som ska tillåtas på trunkar inom VTP-domänen. Slå på pruning för att hindra flooding i alla VLAN till switchar som inte har portar i alla VLAN. För utbyte av information om aktiva VLAN används VTP join messages. VTP pruning kan läras av VTP-klienter, så om man slår på det på en VTP-server och den börjar skicka ut join messages så kommer också klienterna att slå på pruning automatiskt.

vtp pruning

Vill man att endast vissa VLAN ska vara med i VTP pruning kan man lägga dem per trunk i Prune Eligible List. By default är alla VLAN utom 1 prune eligible.

switchport trunk pruning vlan VLAN-RANGE

Verify

show interface trunk

VTPv3

Skillnader mellan v2 och v3.

  • Möjligt att använda krypterade lösenord
  • Stöd för private och extended vlan, dvs över 1005.
  • Off mode, alla VTP-meddelanden droppas, globalt eller per interface.
  • Stöd för mer än bara VLAN-databassynk, det finns även en instans för MST-konfiguration.
  • Serverrollen, se nedan.

Kör man v1/v2 på ena sidan och v3 på den andra kommer v3 känna av det och återgå till v2 vilket tvingar den första switchen att använda v2-only. Med VTPv3 introduceras primary server och det är bara dennes VLAN-databas som får modifieras och skickas ut i domänen. Alla andra servrar blir secondary. Vilken switch som är primary server måste switcharna vara eniga om för att kommunicera. Är switchar oeniga blir det konflikt och ingen databas synkas, show vtp devices conflicts. Detta minskar ytterliggare risken för att oavsiktligt skriva över en VLAN-databas.

För att bli primary krävs lösenord.

vtp primary

Verify

show vtp status enhanced
show vtp devices feature
show vtp counters
show vlan internal usage

Övrigt

Troubleshoot

show vtp interface
debug sw-vlan vtp events
debug sw-vlan vtp packets

Vill man byta vlan.dat kan man göra det med

vtp file filename