Protokół VTP został opracowany i wprowadzony przez firmę Cisco w celu ułatwienia pracy i wprowadzenia łatwiejszego zarządzania w przełączanych sieciach, w których zaimplementowano mechanizm sieci wirtualnych. Jest to protokół firmy Cisco.

W poprzednim wpisie Co w sieci siedzi. Warstwa 2 - konfiguracja sieci VLAN zajmowaliśmy się konfiguracją i zarządzaniem siecią VLAN w oparciu o komendy systemu IOS, które wydawaliśmy na każdym z przełączników z osobna. W przypadku małej sieci złożonej z kilku przełączników rozwiązanie te jest jak najbardziej poprawne ale już w przypadku złożonych i dużych sieci konfiguracja i zmiana parametrów sieci VLAN jest poważnym wyzwaniem gdyż zmiany konfiguracji musimy przeprowadzać ręcznie na wszystkich urządzeniach, których ta zmiana dotyczy. Praca administratora sieci sprowadza się do ręcznej zmiany konfiguracji na każdym z urządzeń jak to zostało przedstawione na rysunku poniżej.

W przypadku zdecydowania się na wykorzystanie protokołu VTP uzyskujemy możliwość zarządzania naszą siecią VLAN w sposób scentralizowany. Protokół ten daje możliwość administratorowi na dokonanie zmian w konfiguracji tylko na jednym z przełączników a zmiany te zostaną rozesłane do wszystkich pozostałych urządzeń tworzących naszą domenę zarządzania.

Protokół VTP domyślnie obsługuje tylko sieci VLAN z przedziału standardowego czyli sieci VLAN, których numer zawiera się w przedziale od 1 do 1005.

Protokół VTP celem komunikacji z pozostałymi urządzeniami używa komunikatów, które są enkapsulowane w ramkach protokołu ISL bądź protokołu IEEE 802.1Q. Komunikaty te są rozsyłane za pośrednictwem łącza trunk lub jak kto woli za pomocą zestawionego łącza magistrali.

Korzyści wdrożenia protokołu VTP są następujące:

• • • Prostota wdrożenia i łatwość zarządzania poprzez zmniejszenie nakładów pracy personelu technicznego oraz ograniczenie liczby błędów mogących wystąpić przy ręcznej konfiguracji każdego urządzenia z osobna,
    • Spójność konfiguracji sieci VLAN w całym środowisku zarządzanej sieci,
    • Możliwość monitorowania wprowadzanych zmian,
    • Łatwość konfiguracji nowo podłączanych urządzeń.

Wady wykorzystywania VTP

• • • Dodatkowy protokół w sieci,
    • Błędna lub źle przeprowadzona konfiguracja nadpisuje poprawną konfigurację,
    • Problemy związane z bezpieczeństwem.

Zanim przejdziemy do przykładowej konfiguracji protokołu VTP należałoby podać jeszcze kilka informacji odnośnie działania protokołu oraz składników tworzących ten protokół. Tak więc w przypadku protokołu VTP będziemy mieli do czynienia z następującymi pojęciami.

Domena VTP - protokół ten swoje działanie opiera na tzw. domenie VTP. W skład domeny wchodzą wzajemnie połączone ze sobą przełączniki. Przełączniki te mają nadaną wspólną nazwę domeny VTP tak by pomiędzy nimi mogła zachodzić wzajemna wymiana ogłoszeń VTP. Dany przełącznik może należeć tylko do jednej domeny VTP a granicą domeny VTP jest przełącznik warstwy 3 bądź router.

Ogłoszenia VTP - po skonfigurowaniu na przełączniku protokołu VTP, każdy przełącznik na zestawionych łączach magistrali ogłasza informacje o nazwie domeny, numerze wersji konfiguracji a także informacje o znanych sobie sieciach VLAN. Informacje te są rozsyłane adres grupowy.

Tryb VTP - przełącznik obsługujący protokół VTP może być skonfigurowany w jednym z trzech trybów: tryb serwera, tryb klienta, tryb przezroczysty (nazywany też trybem transparentnym).

Serwer VTP (ang. VTP Server) może tworzyć, modyfikować i usuwać sieci VLAN a także zmieniać parametry konfiguracyjne sieci VLAN. Zadaniem serwera jest ogłoszenie informacji o skonfigurowanych sieciach VLAN innym przełącznikom a także synchronizowanie tych informacji. Serwer obsługuje swoją domenę zarządzania. Informacje konfiguracyjne dotyczące ustawień sieci VLAN są przechowywane w pamięci NVRAM. Serwer z innymi przełącznikami za pośrednictwem zestawionych łączy magistrali komunikuje się poprzez wysłanie ogłoszeń VTP. Jest to domyślny tryb pracy przełącznika.

Klienci VTP (ang. VTP Client)- otrzymują od serwera informację o konfiguracji sieci VLAN i następnie ją stosują. Na przełączniku, który jest skonfigurowany jako klient nie można wykonywać operacji związanych z tworzeniem, modyfikowaniem i usuwaniem informacji o sieciach VLAN. Przełącznik w tym trybie ogłoszenia VTP przesyła dalej - przełącznik działa jako przekaźnik komunikatów VTP. Informacja o konfiguracji sieci VLAN jest przechowywana w pamięci przełącznika tylko podczas jego normalnej pracy. Po restarcie urządzenia bieżąca informacja o stanie sieci VLAN jest kasowana.

Tryb przezroczysty (ang. VTP Transparent) jest przeznaczony dla przełączników, które mają swoją odrębną konfigurację związaną z sieciami VLAN bądź konfiguracja dotycząca sieci VLAN ich nie dotyczy. Przełącznik działający w tym trybie nie bierze udziału w VTP. Przełącznik w tym trybie przekazują ogłoszenia protokołu VTP lecz wszystkie parametry konfiguracyjne zawarte w tych ogłoszeniach są przez niego ignorowane. W trybie tym można tworzyć, modyfikować i usuwać sieci VLAN lecz wprowadzona konfiguracja ma charakter lokalny czyli nie wpływa na działanie przełączników w skonfigurowanej domenie zarządzania. W wersji 1 VTP przełącznik przekazuje komunikaty VTP pod warunkiem zgodności otrzymywanych komunikatów z skonfigurowaną nazwą domeny zarządzania oraz wersją otrzymywanych komunikatów. W przypadku użycia wersji 2 protokołu VTP zgodność z nazwą domeny zarządzania nie jest wymagana.

Poniżej w tabeli zebrano podsumowanie dostępnych trybów działania protokołu VTP.

Każdy z przełączników Catalyst odnośnie protokołu VTP ma skonfigurowane ustawienia domyślne. Ustawienia te obejmują takie parametry jak:

• • • wersja protokołu VTP: 1
    • tryb pracy: serwer
    • numer korekty konfiguracji: 0
    • liczba sieci VLAN: 1 (sieć VLAN 1)

Protokół VTP występuje w trzech wersjach: 1,2 oraz 3. Wersja 3 protokołu VTP przez przełączniki Catalyst, których działanie opiera się o system IOS jest obsługiwana w oprogramowaniu IOS od wersji 12.2(52)SE (Cisco Catalyst 2960, 3560, 3750). Wersja 3 protokołu VTP jest również wspierana przez niektóre przełączniki, które pracują pod kontrolą systemu CatOS. Zaletą korzystania z wersji 3 protokołu jest obsługa rozszerzonych numerów VLAN (od 1 do 4095). Domyślnie ustawioną wersją protokołu VTP jest wersja 1. W skonfigurowanej domenie zarządzania VTP może istnieć tylko jedna wersja protokołu VTP. Aby protokół VTP mógł poprawnie działać wszystkie urządzenia muszą należeć do tej samej domeny. Informacje pomiędzy różnymi domenami nie są wymieniane.

Protokół VTP do swego działania wykorzystuje trzy rodzaje ogłoszeń.

• • • żądania-ogłoszeń (ang. request advertisement),
    • ogłoszenia podsumowujące zwane również skonsolidowanymi (ang. summary advertisement),
    • ogłoszenia szczegółowe bądź podzbiorowe (ang. subset advertisement).

Komunikaty VTP są przekazywane do przełączników w przypadku:

• • • usunięcia bądź dodania sieci VLAN,
    • zawieszenia lub aktywacji sieci VLAN,
    • zmiany nazwy sieci VLAN,
    • zmiany rozmiaru jednostki MTU dla sieci VLAN.

W skład ramki protokołu VTP wchodzi nagłówek oraz pola komunikatu VTP. Zawartość zarówno nagłówka jak i pól zależy od typu wysyłanego ogłoszenia. Dane te są następnie umiejscawiane w polu danych ramki ethernetowej.

Po wprowadzeniu danych protokołu VTP ramka ethernetowa w następnym kroku jest enkapsulowana do ramki 802.1Q. Utworzone w ten sposób ogłoszenie poprzez wszystkie skonfigurowane łącza trunk jest rozsyłane do sąsiednich przełączników.

W komunikacie typ znajdują się następujące informacje:

• • • docelowy adres MAC - adres grupowy 01-00-0C-CC-CC-CC zarezerwowany dla komunikatów VTP,
    • nagłówek VTP - zawartość tego pola może być różna bo zależna jest od typu wysyłanego bądź odbieranego komunikatu jednak pewne pola są stałe. Pola te to: nazwa domeny, długość nazwy domeny, wersja użytego protokołu VTP oraz typ komunikatu - ogłoszenie podzbiorowe; ogłoszenie podsumowujące; ogłoszenie-żądanie oraz komunikat o przyłączeniu VTP (ang. VTP joim message).
    • Pole komunikatu VTP - zależne od użytego typu komunikatu.

Ogłoszenia podsumowujące są najczęstszą formą wymiany komunikatów pomiędzy przełącznikami w ramach jednej domeny zarządzania. Na rysunku poniżej zawarto pola tego komunikatu.

Opis pól:

• • • Wersja - wersja użytego protokołu VTP (1 bajt),
    • Kod/Typ - typ użytego ogłoszenia, dla ogłoszeń podsumowujących kod ten wynosi 0x01(1 bajt),
    • Następniki/Liczba kolejnych ogłoszeń podrzędnych - liczba z zbioru od 0 do 255 informująca o ilości komunikatów (1 bajt),
    • Długość nazwy domeny - długość nazwy domeny (1 bajt),
    • Nazwa domeny (od 0 do 32 bajtów)
    • Numer korekty konfiguracji - kolejny numer zmiany dokonanej w konfiguracji na serwerze VTP (4 bajty),
    • Adres IP przełącznika uaktualniającego/Tożsamość dokonującego aktualizacji - adres przełącznika powodującego zmianę (4 bajt),
    • Znacznik czasu uaktualnienia - czas ostatniej zmiany numeru korekty konfiguracji (12 bajtów),
    • Skrót MD5 - odpowiedzialny za przechowanie hasła VTP celem uwierzytelnienia wysyłanych uaktualnień (16 bajtów).

Poniżej przykład przechwycenia ramki protokołu VTP obejmujący ogłoszenie podsumowujące.

1. 1. Wersja - wersja użytego protokołu VTP – wersja 2
   2. Kod/Typ - typ użytego ogłoszenia – ogłoszenie podsumowujące (ang. summary advertisement),
   3. Liczba kolejnych ogłoszeń podrzędnych – zero,
   4. Długość nazwy domeny – 19 znaków
   5. Nazwa domeny - CautionThisIsSparta
   6. Numer korekty konfiguracji – piąta zmiana konfiguracji
   7. Adres IP przełącznika uaktualniającego/Tożsamość dokonującego aktualizacji – adres IP 192.168.1.254
   8. Znacznik czasu uaktualnienia – 93-03-01 00:04:43
   9. Skrót MD5
   10. Adres MAC docelowy, grupowy – 01-00-0C-CC-CC-CC

Ogłoszenie szczegółowe (podzbiorowe) są odpowiedzialne za dostarczenie informacji o skonfigurowanych sieciach VLAN. Pola tego komunikatu przedstawiono poniżej.

Opis pól:

• • • Wersja - wersja użytego protokołu VTP (1 bajt),
    • Kod/Typ - typ użytego ogłoszenia, dla ogłoszeń podzbiorowych kod ten wynosi 0x02 (1 bajt),
    • Numer sekwencyjny – kolejność pakietu, numeracja pakietów rozpoczyna się od 1 po odebraniu ogłoszenia podsumowującego (maksymalna liczba ogłoszeń – 255) (1 bajt),
    • Długość nazwy domeny - długość nazwy domeny (1 bajt),
    • Nazwa domeny (od 0 do 32 bajtów),
    • Numer korekty konfiguracji (adres IP, z którego pochodzi) - kolejny numer zmiany dokonanej w konfiguracji na serwerze VTP (4 bajt),
    • Pole VLAN-info – informacja o przekazywanych sieciach VLAN, dane te są uporządkowane według rosnącej kolejności numerów sieci VLAN.

Format pola VLAN-info szczegółowo przedstawiono poniżej.

I celem porównania przechwycony pakiet.

1. 1. Typ sieci VLAN - Ethernet
   2. Długość nazwy sieci VLAN - pięć znaków,
   3. ID sieci VLAN - 17,
   4. Nazwa sieci VLAN - Fnord,
   5. Kod/Typ - ogłoszenie szczegółowe (ang. subset advertisement).

Ogłoszenia-żądania są wysyłane od klientów jako komunikat grupowy a adresatem komunikatu jest serwer VTP. Po otrzymaniu tego typu komunikatu serwer odpowiada komunikatem podsumowującym oraz potrzebną do przekazania wszystkich informacji o sieciach VLAN ilością komunikatów szczegółowych. Zawartość komunikatu zaprezentowano poniżej.

Opis pól:

• • • Wersja - wersja użytego protokołu VTP (1 bajt),
    • Kod/Typ - typ użytego ogłoszenia, dla ogłoszeń-żądań kod ten wynosi 0x03 (1 bajt),
    • Zarezerwowane – pole ustawione na 0, nie wykorzystywane (1 bajt),
    • Długość nazwy domeny - długość nazwy domeny (1 bajt),
    • Nazwa domeny (od 0 do 32 bajtów),
    • Wartość początkowa – pole użyte tylko w przypadku gdy lista ogłoszeń szczegółowych jest większa niż 1.

Tego typu komunikaty są wysyłane w przypadku gdy:

• • • nastąpiło ponowne uruchomienie przełącznika,
    • nie odebrania wszystkich komunikatów szczegółowych,
    • nastąpiła zmiana nazwy domeny zarządzania,
    • odebrania przez przełącznik komunikatu podsumowującego o numerze korekty konfiguracji większym niż ten zapisany na przełączniku.

1. 1. Kod/Typ - ogłoszenie-żądanie (ang. request advertisement),
   2. Długość nazwy domeny - 19 znaków,
   3. Nazwa domeny - CautionThisIsSparta.

Już przez część wpisu przewija się temat numeru korekty konfiguracji tak więc wypadałoby by napisać kilka słów na ten temat. Numer korekty konfiguracji (ang. configuration revision numer) to 32-bitowa wartość liczbowa zawarta w komunikatach VTP a oznaczająca kolejną zmianę konfiguracji. Wartość ta jest wykorzystywana podczas synchronizacji przesyłanych informacji o stanie konfiguracji VLAN. Pozwala odróżnić komunikaty zawierające nowsze ustawienia od komunikatów już nieaktualnych. Numer ten jest zwiększany o jeden w sytuacji w której zachodzi zmiana parametrów konfiguracji VLAN np. usunięcie sieci VLAN czy dodanie nowej sieci VLAN. W sytuacji zmiany nazwy domeny zarządzania numer korekty jest resetowany do wartości 0. Od wartości 0 rozpoczyna się przetwarzanie ogłoszeń VTP. Z numerem korekty konfiguracji jest związane pewne niebezpieczeństwo gdyż może dojść do sytuacji w której do domeny zostanie podłączony przełącznik z wyższym indeksem konfiguracji. Jeśli dojdzie do takiej sytuacji wszystkie przełączniki zostaną zaktualizowane tracąc tym samym bieżącą konfigurację Dlatego tak ważne jest by przed podłączeniem nowego urządzenia wyzerować numer korekty konfiguracji. Samo włączenie i wyłączenie przełącznika nie wystarczy gdyż w przypadku urządzenia pracującego jako serwer VTP informacja o stanie sieci VLAN i VTP są zapisane w pliku vlan.dat umiejscowionym w systemie plików pamięci flash. Co oznacza, że informacje te są dostępne po ponownym uruchomieniu urządzenia. Również należy uwagę zwrócić na przełączniki pracujące w trybie klienta gdyż taki przełącznik również potrafi przechować ostatnią znaną informację VTP.

Aby sprawdzić czy na przełączniku istnieje plik vlan.dat należy wydać polecenie: show flash Jak widaćponiżej plik takowy istnieje.

Aby skasować plik vlan.dat należy posłużyć się poleceniem: delete vlan.dat a następnie dwukrotnym wybraniu klawisza Enter potwierdzić wykonywaną operację.

Nasza testowa topologia sieciowa na której będziemy rozważać konfigurację protokołu VTP przedstawia się następująco:

Serwerem VTP będzie switch SW1 natomiast klientami switch SW2 oraz switch SW3.

Etapy wdrożenia protokołu VTP sprowadzają się do następujących czynności:

- sprawdzamy czy na przełącznikach, które będą wykorzystywać protokół VTP są skonfigurowane ustawienia domyślne.

- w przypadku korzystania z przełącznika na którym usługa VTP była już konfigurowana (procedurę tą należy zastosować przy przełącznikach pracujących w trybie klienta bo w przypadku serwera najlepiej dokonać skasowania pliku vlan.dat) należy wyzerować stan licznika numeru korekty konfiguracji. Licznik ten możemy wyzerować poprzez zmianę nazwy domeny zarządzania (na nazwę fikcyjną oraz z powrotem na nazwę pożądaną) lub poprzez zmianę trybu pracy przełącznika na tryb transparentny (przezroczysty) a następnie z powrotem na tryb serwera.

- wybrać przełącznik bądź przełączniki, które będą pełnić rolę serwera gdyż tylko w tym trybie pracy przełącznika można tworzyć i usuwać sieci VLAN.

- na wybranym przełączniku pełniącym rolę serwera skonfigurować nazwę domeny zarządzania. W przypadku istnienia już funkcjonującej domeny poprawne skonfigurowanie jej nazwy. Należy pamiętać, że nazwa domeny jest typu case sensitive co oznacza, że wielkość liter odgrywa znaczenie.

- w przypadku definicji hasła zabezpieczającego autoryzację i przetwarzanie przez przełączniki komunikatów VTP, hasło to należy poprawnie wprowadzić na wszystkich przełącznikach w naszej domenie zarządzania.

- sprawdzić użytą wersję protokołu VTP. Część przełączników Cisco potrafi obsłużyć protokół VTP w wersji 2 lecz są urządzenia, dla których wersja 1 protokołu VTP jest jedyną dostępną wersją. Zmiana wersji protokołu z 1 na 2 spowoduje poprzez wysłanie komunikatów VTP automatyczną aktualizację konfiguracji pozostałych przełączników. Te przełączniki, które potrafią wykorzystać wersję 2 zaczną z niej korzystać, te zaś które wersji 2 protokołu VTP nie obsługują pozostaną przy wersji 1 i tym samym zostaną wyłączone z uczestnictwa w domenie.

- utworzyć i skonfigurować połączenia trunk z innymi przełącznikami, tak by możliwe było wysyłanie i odbieranie komunikatów protokołu VTP.

- utworzyć sieci VLAN oraz sprawdzić czy wprowadzona konfiguracja została poprawnie rozpropagowana do klientów.

- na wszystkich przełącznikach pełniących rolę klienta ustalić przynależność portów przełącznika do odpowiednich sieci VLAN.

Zaczynamy od sprawdzenia konfiguracji początkowej pod kątem działania protokołu VTP. Aby uzyskać stan ustawień VTP korzystamy z polecenia: show vtp status Jak widać poniżej switch SW1 domyślnie ustawiony jest do pracy w trybie serwera.

VTP Version – wersja VTP – domyślnie uruchomiona wersja 1 lecz możliwe jest uruchomienie wersji 2,

Configuration revision – numer korekty konfiguracji – bieżący numer konfiguracji na danym przełączniku,

Maximum VLANs suported locally – maksymalna liczba lokalnie obsługiwanych sieci VLAN,

Number of existing VLANs – liczba skonfigurowanych sieci VLAN,

VTP Operating Mode – używany tryb pracy,

VTP Domain Name – nazwa domeny zarządzania,

VTP Pruning Mode – stan funkcji przycinania VTP,

VTP V2 Mode - informacja o stanie włączenia wersji 2 protokołu VTP,

VTP Traps Generation – informacja o stanie generowania komunikatów VTP Trap,

MD5 digest – skrót MD5 używany do weryfikacji przez sąsiednie przełączniki hasła oraz komunikatów VTP,

Configuration last modified – Data, czas ostatniej modyfikacji konfiguracji oraz informacja o adresie IP przełącznika, który spowodował tę zmianę.

Kolejnym krokiem jest skonfigurowanie klientów. Rozpoczynamy od przełącznika SW2. Aby przełącznik zaczął pracować jako klient VTP wydajemy polecenie: vtp mode client Po wydaniu polecenia sprawdzamy stan ustawień VTP. Przełącznik SW2 pracuje jako klient VTP.

Analogicznie postępujemy z przełącznikiem SW3.

Po wydaniu poleceń konfigurujących działanie protokołu VTP należy pomiędzy przełącznikami zestawić łącze trunk ponieważ tego typu łącze jest niezbędne do poprawnego działania protokołu VTP. Łącze trunk na przełączniku SW1 zostaje uruchomione na interfejsach f0/1 oraz f0/3 gdyż te interfejsy są fizycznie połączone z pozostałymi przełącznikami.

Łącze trunk należy również skonfigurować na przełącznikach SW2 oraz SW3

Sprawdzenie połączenia trunk możemy wykonać za pomocą polecenia: show interfaces trunk Jak widać poniżej łącza trunk działają.

Po poprawnej konfiguracji połączeń magistrali dokonajmy zmiany nazwy naszej domeny zarządzania. Zmianę oczywiście musimy dokonać na przełączniku SW1 gdyż on pełni rolę serwera. Zmianę nazwy domeny dokonujemy za pomocą polecenia: vtp domain <nazwa_domeny> polecenie wydajemy w trybie konfiguracji globalnej. Po zmianie domyślnie ustawionej wartości nazwy domeny (domyślnie nazwa domeny jest pusta) na nową nazwę: firma, zmianę tą możemy skontrolować wydając komendę: show vtp status

Po wydaniu polecenia zmiany nazwy domeny na konsoli otrzymamy komunikat o jej niedopasowaniu. Jest to komunikat jak najbardziej prawidłowy gdyż nowa nazwa ustawiona na serwerze nie pokrywa się jeszcze z domyślną nazwą domeny skonfigurowaną na klientach.

Po zmianie nazwy domeny możemy dokonać sprawdzenia czy informacja ta została poprawnie przekazana klientom. Sprawdzenia dokonujemy na przełączniku SW2, jak można zauważyć przełącznik otrzymał nową konfigurację i jego nazwa domeny pokrywa się z tą skonfigurowaną na serwerze VTP. Nowe zmiany zostały wprowadzone.

Po dokonanej kontroli stanu działania protokołu VTP i upewnieni się że wszystkie przełączniki zostały skonfigurowane z poprawną nazwą domeny zarządzania, przechodzimy do konfiguracji sieci VLAN. Całą operację definicji sieci VLAN przeprowadzamy oczywiście na przełączniku SW1 gdyż to on w naszej domenie pełni rolę serwera VTP.

Na przełączniku SW1 została zdefiniowana nowa sieć VLAN o identyfikatorze 20 i nazwie student.

Po definicji sieci VLAN sprawdzamy stan wprowadzonej konfiguracji z wykorzystaniem polecenia: show vlan brief. Sieć została skonfigurowana poprawnie (rysunek poniżej).

Na poniższym zrzucie fakt ukazania niemożności konfiguracji sieci VLAN na przełączniku SW2. Operacja dodania sieci VLAN kończy się niepowodzeniem gdyż przełącznik ten pracuje w trybie klienta.

Po dodaniu sieci VLAN na serwerze sprawdźmy fakt rozpropagowania tej informacji do innych przełączników. Jak widać po wydaniu na switchu SW2 polecenia: show vlan brief nowo dodana sieć VLAN 20 istnieje.

Dodanie sieci VLAN spowodowało wymuszenie wysłania przez serwer odpowiednich komunikatów VTP informujących pozostałe urządzenia o dokonanej zmianie i tym samym zmianie uległ numer korekty konfiguracji. Jak można zauważyć poniżej numer korekty konfiguracji wynosi 1.

Sieć VLAN 20 jest skonfigurowana lecz komunikacja pomiędzy hostami należącymi do tej sieci jest niemożliwa (a uściślając komputery Host1 oraz Host2 na tym etapie komunikację mogą prowadzić gdyż interfejsy przełączników są przypisane do domyślnej sieci VLAN1) gdyż nie została przeprowadzona operacja przypisania interfejsów przełącznika do skonfigurowanej sieci VLAN 20. Aby dokończyć konfigurację interfejs f0/6 przełącznika SW2 zostaje przypisany do sieci VLAN 20.

Po dokonaniu przypisania Host1 stracił możliwość komunikacji z Host2 (komputery należą do innych VLAN-ów).

Analogiczną zmianę musimy dokonać również na drugim kliencie czyli na przełączniku SW3. Na urządzeniu tym interfejs f0/18 zostaje przypisany do sieci VLAN 20.

Po wprowadzeniu wszystkich poprawek komputery należące do sieci VLAN 20 mogą swobodnie prowadzić ze sobą wymianę informacji. Poniżej test ping z Host1 do Host2.

Dobrą praktyką gdy tylko jest to możliwe jest stosowanie jak największej liczby zabezpieczeń. W przypadku protokołu VTP mamy możliwość zdefiniowania hasła. Ustawienie hasła w naszej domenie zarządzania zabezpieczy nas przed atakiem, który mógłby polegać na wygenerowaniu i wysłaniu przez atakującego fałszywych ramek, których celem byłaby zmiana obowiązującej konfiguracji sieci VLAN. Hasło ustalamy w trybie konfiguracji globalnej za pomocą polecenia: vtp password <hasło> Należy pamiętać, że ustalone hasło należy skonfigurować na wszystkich przełącznika wchodzących w skład domeny VTP.

Po zdefiniowaniu hasła wszystkie przełączniki na których hasło nie zostało jeszcze wprowadzone stracą możliwość uczestnictwa w domenie VTP.

Stan dopasowania hasła możemy sprawdzić za pomocą już znanego nam polecenia: show vtp status Jak widać poniżej na przełączniku SW1 na obu interfejsach trunk istnieje problem z hasłem.

Poprawne zdefiniowanie haseł na przełącznikach SW2 oraz SW3 problem z działaniem domeny VTP rozwiązuje.

Gdy nie wiemy jakie hasło obowiązuje w naszej domenie za pomocą polecenia: show vtp password możemy sprawdzić jego stan.

Jednym z poleceń, które może nam pomóc w rozwiązywaniu ewentualnych problemów z protokołem VTP jest komenda: show vtp counters Polecenie te dostarcza nam informacji o liczbie i typie wymienianych komunikatów.

Wiemy już jak skonfigurować protokół VTP ale jeszcze prześledźmy jeden przykład w którym to jeden z przełączników skonfigurujemy do pracy w trybie przezroczystym. Tak więc nasza topologia sieci ulega nieznacznej zmianie i przedstawia się następująco:

Serwerem VTP w naszej sieci będzie przełącznik SW1 a klientem przełącznik SW3 natomiast przełącznik SW2 będzie pracował w trybie transparentnym.

Naszą konfigurację rozpoczynamy od konfiguracji przełącznika SW2. Tryb pracy za pomocą polecenia: vtp mode transparent zostaje ustawiony na tryb przezroczysty. Od tej pory przełącznik SW2 w domenie spełnia rolę przekaźnika komunikatów VTP. Sam odebranych komunikatów nie przetwarza jedynie przekazuje je dalej.

Przełącznik SW 1 pełni rolę serwera domeny VTP. Na przełączniku tym została utworzona sieć VLAN 50 o nazwie admin.

Przełącznik SW3 zostaje skonfigurowany jako klient. Po konfiguracji przełącznik ten zaczyna przetwarzać konfigurację zawartą w komunikatach VTP. Jak można zauważyć poniżej na przełączniku tym została skonfigurowana sieć VLAN 50. Informacja o tej sieci VLAN została przełącznikowi przekazana dzięki komunikatom VTP wysłanym przez serwer.

Protokół VTP działa, komunikaty VTP są poprawnie wysyłane i przetwarzane przez urządzenia w całej domenie. Sprawdźmy zatem stan konfiguracji przełącznika SW2. Po analizie zrzutu znajdującego się poniżej można stwierdzić, że na przełączniku SW2 brak jest informacji o sieci VLAN o identyfikatorze 50. Przełącznik ignoruje informacje zawarte w komunikatach VTP bo tak nakazuje mu ustawiony tryb pracy.

To, że przełącznik SW2 pracuje w trybie przezroczystym nie zabrania nam tak jak to było w przypadku przełącznika pracującego w trybie klienta konfigurowania na nim sieci VLAN. Praca w trybie transparentnym zabrania ogłaszania sieci VLAN pozostałym urządzeniom, utworzone sieci VLAN mają charakter lokalny. Co w naszym scenariuszu oznacza, że nowo utworzone sieci VLAN będą tylko istniały na przełączniku SW2. Na switchu SW2 została skonfigurowana nowa sieć VLAN o identyfikatorze 80 i nazwie office.

Po sprawdzeniu stanu konfiguracji pozostałych przełączników (SW1 oraz SW3) stwierdzamy, że na przełącznikach tych brak jest śladu istnienia sieci VLAN 80. Oznacza to, że przełącznik SW2 informację o istnieniu tej sieci zachował tylko dla siebie.

Sieć nasza działa w sposób prawidłowy, przełącznik SW1 odpowiedzialny za konfigurację sieci VLAN w całej domenie zarządzania prawidłowo przesyła komunikaty VTP, przełącznik SW3 pełniący rolę klienta komunikaty te prawidłowo interpretuje, natomiast switch SW2 ogłoszenia VTP przesyła dalej (informacje w przekazywanych komunikatach nie są przez niego stosowane).

I na koniec omówienie jeszcze jednego rozwiązania związanego z działaniem protokołu VTP a mowa będzie o tzw. przycinaniu VTP.

Zadaniem przełącznika jest przekazanie wszystkich ramek, które mają charakter rozgłoszeniowy. Taka sytuacja ma miejsce np. w sytuacji w której dany host musi nauczyć się adresu MAC komputera odbiorcy aby móc z nim prowadzić prawidłową wymianę informacji (protokół ARP powiązanie adresu MAC z adresem IP). Podczas takiej transmisji rozgłoszeniowej porty trunk również są uwzględniane. Oznacza to, że poprzez skonfigurowane łącza magistrali będzie przekazywany ruch typu broadcast. Rozważmy o to taką sytuację (rysunek poniżej) - Host 3 próbuje nawiązać połączenie z Hostem 2 lecz nie zna jego adresu MAC w tym celu wysyła ramkę ARP celem powiązania adresu MAC Hosta 2 z jego adresem IP.

Ramka ta zostaje przekazana poprzez przełączki SW 4 do przełącznika SW1, który następnie ramkę tą przekazuje na wszystkie swoje interfejsy. Oznacza to, że ramka rozgłoszeniowa ARP trafia do przełącznika SW3 oraz SW2. Oba przełączniki ramkę przekazują dalej. Proces ten trwa tak długo aż uda się powiązać adres IP z poszukiwanym adresem MAC lub gdy ustalenie dowiązania jest niemożliwe. Ramka ARP zostaje przekazana z sieci VLAN o identyfikatorze 20 i trafia ona do wszystkich przełączników w sieci. Analizując topologię szybko dojdziemy do wniosku, że ruch ARP przesłany z przełącznika SW1 do SW2 jest niepotrzebny gdyż przełącznik SW2 otrzymanego rozgłoszenia i tak nie prześle dalej gdyż nie posiada on żadnych aktywnych hostów, które byłby z siecią VLAN 20 powiązane (przełącznik SW2 otrzymane rozgłoszenie odrzuci). Tak więc ramki na łączu SW1-SW2 wysyłane są niepotrzebnie. Aby ograniczyć zużycie pasma i wykorzystanie procesora przełączników stworzono mechanizm eliminacji zbędnego ruchu sieciowego. Mechanizm ten nazwano: przycinaniem VTP. Założenia mechanizmu przewidują redukcję zbędnego ruchu broadcast poprzez łącza typu trunk w sytuacji w której docelowy przełącznik nie posiada skonfigurowanych portów VLAN odpowiadających danej sieci VLAN lub podchodząc to zagadnienia z drugiej strony, ruch zalewowy pochodzący z określonej sieci VLAN jest przesyłany dalej tylko wtedy, gdy odbierający go przełącznik posiada skonfigurowane takowe sieci VLAN.

Po skonfigurowaniu mechanizmu przycinania przełącznik SW1 ramki powiązane z siecią VLAN 20 prześle tylko do przełącznika SW3 gdyż przełącznik ten posiada interfejsy przynależne do sieci VLAN 20.

Przycinanie domyślnie jest wyłączone. Aby mechanizm mógł zadziałać należy w trybie konfiguracji globalnej wydać polecenie: vtp pruning Polecenie wydane na przełączniku pełniącym rolę serwera spowoduje uaktywnienie mechanizmu przycinania w całej domenie zarządzania. Fakt działania przycinania możemy sprawdzić za pomocą polecenia: show vtp status

Po włączeniu przycinania, funkcja ta obejmuje swoim działaniem wszystkie sieci VLAN (no prawie wszystkie, szczegóły za chwilę) skonfigurowane w naszej sieci. Lecz gdy zachodzi potrzeba możemy sami zdecydować, które sieci VLAN mają być przycinane a które nie. Polecenie: switchport trunk pruning vlan <add | except | remove | none> <id_VLAN> pozwala nam na modyfikację sieci VLAN co do których przycinanie będzie miało zastosowanie. Polecenie wydajemy w trybie konfiguracji interfejsu.

Listę sieci VLAN możemy dostosować przy użyciu następujących przełączników:

• • • add <id_VLAN> - określony identyfikator VLAN zostanie dołączony do wcześniej zdefiniowanej listy VLAN-ów podlegających przycinaniu,
    • except <id_VLAN> - przycinaniu nie będą podlegać sieci VLAN z wyjątkiem zdefiniowanych,
    • remove <id_VLAN> - określony identyfikator VLAN zostanie usunięty z wcześnie zdefiniowanej listy VLAN-ów co do których przycinanie ma zastosowanie,
    • none - żadna z sieci VLAN nie spełnia warunków przycinania.
      

Domyślnie przycinaniu ulegają sieci z identyfikatorami od 2 do 1001 gdyż sieć VLAN 1 jest domyślną siecią VLAN a sieci od 1002 do 1005 są wykorzystywane przez Token Ring oraz VLAN FFDI.

W trybie transparentnym przycinanie musimy zdefiniować ręcznie.

Opis działania protokołu VTP uważam za zrealizowany, myślę że lektura wpisu wraz z przykładami dość szczegółowo tłumaczy zagadnienie i że po zapoznaniu się z wszystkimi zawartymi tu informacjami wdrożenie i konfiguracja tego mechanizmu nie sprawi nikomu problemu. W kolejnym wpisie konfiguracja routingu pomiędzy VLAN-ami.