Cisco VTP

From HackerNet
Revision as of 19:17, 24 January 2016 by Helikopter (talk | contribs)
Jump to: navigation, search

VTP står för VLAN Trunking Protocol men tänk VLAN Management Protocol då det används för att managera VLAN-databaser på flera switchar samtidigt från en switch. Det går endast över ISL/802.1q-länkar så trunk mellan switcharna är ett måste. VTP annonserar VLAN ID, namn, typ och tillstånd men dock inget om vilka portar som tillhör vilket VLAN. VTP jobbar med revisionsnummer för att veta vilka databas som är korrekt uppdaterad, högre revisionsnummer vinner. Se även Cisco VLAN.

OBS VTP har potentialen att sänka en hel miljö på några enstaka sekunder, förstå hur det fungerar och räkna med riskerna.

Pakettyper

Gäller VTPv1 och v2.
Summary advertisements
Skickas av server och client var 5 minut eller vid VLAN-modifikation och innehåller allt utom själva VLAN-databasen. Innehåller VTP domain name, revision number, identity of last updater, time stamp of last update, MD5 sum of VLAN database, VTP password och antalet efterkommande Subset advertisements.

Subset advertisement
Skickas ut efter en VLAN-förändring och innehåller hela databasen. Kan dock behövas flera paket ifall det är en stor databas.

Advertisement requests
Skickas av server och client när de vill ha hela VLAN-databasen, t.ex. när de får in en Summary Advertisement med högre revisionsnummer. Skickas även av klienter när de startas om eller blir client.

VTP join messages
Skickas av server och client var 6 sekund om pruning är påslaget. Berättar om vilka VLAN som är aktiva.

Versioner

VTP finns i version 1, 2 och 3. VTPv1 är default.

Skillnader mellan v1 och v2.

  • Stöd för diverse Token Ring VLAN
  • Stöd för unknown TLV records, v1 ignorerar dessa.
  • VLAN-databasen konsistenscheckas ej om ändringen kommer med VTP. Implementation optimization.

Skillnader mellan v2 och v3.

  • Möjligt att använda krypterade lösenord
  • Stöd för private och extended vlan, dvs över 1005.
  • Off mode, alla VTP-meddelanden droppas, globalt eller per interface.
  • Stöd för mer än bara VLAN-databassynk, t.ex. MST konfiguration.
  • Serverrollen, se nedan.

Kör man v1/v2 på ena sidan och v3 på den andra kommer v3 känna av det och återgå till v2 vilket tvingar den första switchen att använda v2-only.

Konfiguration

vtp version [version]

VTP Modes

Server

På VTP-servrar skapar, modifierar och tar man bort VLAN, detta propageras sedan ut till klienter och övriga servrar. Detta är default för Cisco IOS men uppdateringar skickas inte förrens VTP domain är konfigurerat. Uppdateringar accepteras från server och client och VLAN sparas i vlan.dat.

Med VTPv3 introduceras primary server och det är bara dennes VLAN-databas som får modifieras och skickas ut i domänen. Alla andra servrar blir secondary. Vilken switch som är primary server måste switcharna vara eniga om för att kommunicera. Är switchar oeniga blir det konflikt och ingen databas synkas. Detta minskar ytterliggare risken för att oavsiktligt skriva över en VLAN-databas.

vtp primary

Client

Behöver ej ha VTP domain konfigurerat utan tar det från den första VTP-uppdateringen som tas emot. Dock måste vtp mode client konfigureras. Uppdateringar accepteras från server och client och VLAN sparas i vlan.dat. Eftersom klienter originerar uppdateringar kan en klient med högre revisionsnummer uppdatera databasen på en server.

Transparent

Med vtp mode transparent så sparas alla vlan i running config och vlan.dat

Off

Finns endast med VTPv3 och stänger av VTP-forwarding helt.

Konfiguration

vtp mode [mode]

VTP Domain

Domän måste vara samma på alla annars ignoreras updates. Byt namn på domän för att resetta revision number.

vtp domain [domain]
show vtp status

Använd lösenord för att skydda din miljö annars kan t.ex. domäner propagera till switchar automatiskt. Detta skyddar ej mot eavesdropping utan endast mot unauthorized switches. En MD5-summa räknas fram av VLAN-databasen och lösenordet för att sedan skickas med Summary advertisement.

vtp password [password] {hidden|secret}
show vtp password

VTP Pruning

Slå på pruning för att hindra flooding i alla VLAN till switchar som inte har portar i alla VLAN.

vtp pruning

Övrigt

Troubleshot

show vtp interface

Vill man byta vlan.dat kan man göra det med

vtp file filename