Протокол Cisco VTP — теория (Часть 1)

Протокол cisco VTP (Vlan Trunking Protocol — транкинговый протокол сетей VLAN), собственный протокол корпорации Cisco, предоставляет средства, с помощью которых коммутаторы Cisco могут обмениваться информацией о конфигурации VLAN-сети. В частности, протокол VTP cisco обеспечивает передачу анонсов с информацией, позволяющей узнать о существовании каждой VLAN-сети по ее идентификаторы VLAN-сети и имени VLAN-сети. Но протокол VTP не анонсирует сведения о том, какие интерфейсы коммутатора относятся к той или иной VLAN-сети.

Рассмотрим ситуацию: в некоторой сети имеется десять коммутаторов,соединенных каким-то образом с помощью VLAN-магистралей, и в каждом коммутаторе есть по меньшей мере один порт, соединенный с VLAN-сетью, имеющей идентификатор VLAN-сети, равный 3, и имя Accounting. Если бы не существовало протокола cisco VTP, то инженеру пришлось бы входить в систему на всех десяти коммутаторах и вводить две одинаковые команды настройки конфигурации для создания VLAN-сети и определения ее имени. С другой стороны, протокол VTP позволяет создать сеть VLAN 3 на одном коммутаторе, после чего все прочие девять коммутаторов получают информацию о сети VLAN 3 и ее имени с помощью протокола VTP.

Протокол VTP определяет протокол передачи сообщений уровня 2, используемый коммутаторами для обмена информацией о конфигурациях VLAN-сетей. После того как в каком-то коммутаторе меняется конфигурация VLAN-сетей (иными словами, происходит добавление или удаление VLAN-сети либо изменение существующей VLAN-сети), протокол VTP вынуждает все коммутаторы синхронизировать свои конфигурации VLAN-сетей так, чтобы в них были заданы одинаковые идентификаторы VLAN-сетей и имена VLAN-сетей. Такой процесс синхронизации немного напоминает процесс, осуществляемый с помощью маршрутизирующего протокола, поскольку каждый коммутатор периодически рассылает сообщение VTP. Кроме того, коммутаторы передают сообщение VTP сразу после внесения изменений в их конфигурацию VLAN-сетей. Например, если в конфигурации какого-то коммутатора задана новая сеть VLAN 3 с именем Accounting, то коммутатор немедленно передает обновления протокола VTP по всем магистралям, вызывая распространение информации о новой VLAN-сети по всем остальным коммутаторам.

В каждом коммутаторе используется один из трех режимов протокола VTP: серверный, клиентский или прозрачный. Для обеспечения работы протокола VTP инженер переводит некоторые коммутаторы на использование серверного режима, а остальные — на использование клиентского режима. После этого появляется возможность задавать конфигурацию VLAN-сетей на серверах, поскольку все остальные серверы и клиенты могут получать информацию об изменениях в базе данных VLAN-сети. Клиенты же не могут использоваться для ввода в конфигурацию информации о VLAN-сетях.

Причем, что довольно странно, проводя настройку cisco коммутаторов, в них нельзя запретить применение протокола VTP. Больше всего на выключение протокола VTP похож прозрачный режим, который вынуждает коммутатор игнорировать протокол VTP и не предпринимать никаких действий, кроме перенаправления сообщений VTP, чтобы копии этих сообщений могли получать все другие клиенты или серверы.

Обычная эксплуатация протокола VTP с использованием серверного и клиентского режимов VTP

Процесс ввода в действием протокола VTP начинается с создания VLAN-сети в коммутаторе, называемом сервером VTP. После этого сервер VTP распространяет информацию об изменениях в конфигурации VLAN-сетей с помощью сообщений VTP, передаваемых только через магистрали ISL и 802.1Q по всей сети. Затем серверы и клиенты VTP обрабатывают полученные сообщения VTP, обновляют свои базы данных с конфигурацией протокола VTP на основе этих сообщений и независимо от других передают обновления протокола cisco VTP по своим магистралям. Наконец все коммутаторы воспринимают новую информацию о VLAN-сетях.

Серверы и клиенты VTP принимают решение о том, следует ли реагировать на полученное обновление протокола VTP и обновлять свои конфигурации VLAN-сетей на основании того, произошло ли увеличение номера версии конфигурации базы данных VLAN-сетей. После каждого изменения сервером VTP своей конфигурации VLAN-сети этот сервер VTP увеличивает текущий номер версии конфигурации на 1. Этот новый номер версии конфигурации отражается в сообщениях об обновлениях протокола VTP. После получения другим коммутатором, выполняющим роль клиента или сервера, сообщения VTP с более высоким номером версии конфигурации по сравнению с его собственным коммутатор обновляет свою конфигурацию VLAN-сетей. На рисунке ниже показано, как работает протокола VPT в коммутируемой сети

Процесс, показанный на рисунке начинается с того, что во всех коммутаторах имеется один и тот же номер версии конфигурации VLAN-сетей, а это означает, что во всех коммутаторах база данных конфигурации VLAN-сетей является одинаковой; иными словами, все коммутаторы имеют в своем распоряжении одну и ту же информацию о номерах VLAN-сетей и именах VLAN-сетей. Таким образом, процесс обновления начинается с того, что каждый коммутатор имеет информацию о сетях с текущим номером версии конфигурации, равным 3. Этапы показанные на рисунке, описаны ниже.

  • Инженер вводит в конфигурацию сервера VTP информацию о новой VLAN-сети с помощью интерфейса командной строки (Command-Line Interface — CLI)
  • Сервер VTP обновляет свой номер версии базы данных VLAN-сетей с 3 на 4.
  • Сервер передает сообщения с обновлениями протокола VTP через свои магистральные интерфейсы, указывая номер версии 4.
  • Два коммутатора, являющиеся клиентами VTP, обнаруживают, что в обновлениях указан больший номер версии (4) по сравнению с их текущим номером версии (3).
  • Два коммутатора-клиента обновляют свои базы данных VLAN-сетей на основе обновлений протокола VTP, полученных от сервера.

Безусловно, в этом примере показана весьма малая локальная сеть, но описанный процесс действует точно так же и в более крупных сетях. После обновления на сервере VTP конфигурации VLAN-сети этот сервер немедленно отправляет сообщения VTP по всем магистралям. Соседние коммутаторы, находящиеся на других концах магистралей, обрабатывают полученные сообщения и обновляют свои базы данных VLAN-сетей, а затем передают сообщения VTP соседним устройствам. Тот же процесс повторяется на соседних коммутаторах до тех пор, пока в конечном итоге все коммутаторы не получат новую информацию базы данных VLAN-сетей.

Кроме того, серверы и клиенты VTP-рассылают периодические сообщения VTP через каждые 5 минут на тот случай, если каким-либо вновь введенным в сеть коммутаторам потребуется информация о конфигурации VLAN-сети. К тому же после ввода в действие новой магистрали коммутаторы могут немедленно отправить сообщение VTP соседним коммутаторам с запросом передать свою базу данных VLAN-сетей.

До сих пор в этом материале, сообщения, передаваемые по протоколу cisco VTP, именовались обновлениями VTP или просто сообщения VTP. Но фактически в протоколе VTP определены три разных типа сообщений: сообщения анонсирования общей информации, сообщения анонсирования подсетей и запросы анонсирования. В сообщениях анонсирования общей информации передаются номер версии, доменное имя и другая информация, но какая-либо информация о VLAN-сетях отсутствует. Теми периодическими сообщениями VTP, которые появляются через каждые 5 минут, и являются сообщения анонсирования общей информации протокола VTP. Если возникают какие-либо изменения, о чем можно судить по увеличению на 1 номера версии, то за сообщением анонсирования общей информации следует один или несколько сообщений анонсирования подсетей, каждое из которых анонсирует определенное подмножество базы данных VLAN-сетей. Третий тип сообщения, запрос анонсирования, позволяет коммутаторам немедленно запрашивать сообщения VTP от соседнего коммутатора после ввода в действие какой-либо магистрали.

Требования, которые должны быть выполнены для обеспечения работы протокола VTP между двумя коммутаторами

Операционная система Cisco IOS требует соблюдения трех указанных ниже условий, поскольку лишь при этом появляется возможность обеспечить обмен сообщениями VTP между двумя коммутаторами, подключенными друг к другу — клиентом или сервером VTP и другим клиентом или сервером VTP.

  • Канал между коммутаторами должен работать как VLAN-магистраль (ISL или 802.1Q).
  • Доменное имя протокола VTP с учетом регистра в этих двух коммутаторах должно совпадать.
  • Если в конфигурацию по меньшей мере одного из коммутаторов введен пароль протокола VTP, то в этих двух коммутаторах пароли должны совпадать с учетом регистра.

Доменное имя протокола VTP лежит в основе одного из инструментов проектирования, с помощью которого инженеры могут создавать группы коммутаторов VTP, называемых доменами, в которых конфигурации VLAN-сетей являются автономными. Для этого инженер может настроить конфигурацию коммутаторов одной группы как принадлежащих к одному домены VTP, а коммутаторов другой группы — как относящиеся к другому домену VTP, поскольку коммутаторы в разных доменах игнорируют сообщения VTP, принадлежащие к чужим доменам. Домены VTP позволяют инженерам разбивать коммутируемую сеть на разные административные домены. Например, в большом здании со значительным количеством сотрудников информационно-технических (ИТ) отделов можно обеспечить, чтобы ИТ-персонал одного отдела использовал такое доменное имя VTP, как Accounting, а ИТ-сотрудники другого отдела — доменное имя Sales, принимая на себя контроль над конфигурациями своих коммутаторов и вместе с тем сохраняя возможность перенаправлять трафик между отделами с применением инфраструктуры локальной сети.

Механизм паролей протокола cisco VTP предоставляет средство, с помощью которого коммутатор может предотвратить попытки со стороны взломщиков вынудить коммутатор изменить свою конфигурацию VLAN-сетей. Сам пароль никогда не передается в виде открытого текста.



Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>