14 de enero de 2013

VTP versión 3

Vinculado a la operación de los switches LAN y la configuración de VLANs hay un protocolo que estudiamos pero aplicamos con muchas prevenciones: VTP (VLAN trunk protocol).
Es que en sus versiones 1 y 2 aparecen diversas vulnerabilidades que hacen complicada su adopción. En primer lugar, la posibilidad de que la introducción de un dispositivo con un número de revisión más bajo fuerce la sobre escritura de la base de datos de VLANs de los switches; pero también, el hecho de que la configuración por  defecto del protocolo haga que el nombre de dominio se aprenda dinámicamente.
Desde esta perspectiva, un protocolo diseñado para simplificar y facilitar la administración de VLANs en entornos de redes conmutadas extensas, es evitado para prevenir potenciales problemas operativos que significarían potencialmente la salida de operación de la red.
Una respuesta a estas dificultades es la versión 3 de VTP, la versión quizás menos conocida de este protocolo.

La versión 3 de VTP
Se encuentra disponible a partir de IOS 12.2(33)SXI en Catalyst 6500; IOS 12.2.50SG2 en Catalyst 4500.
Es compatible con VTP versión 2, pero no con versión 1.
Entre las novedades que introduce, se destacan:
  • Fuerza la configuración manual, no hay más configuración automática.
  • VTP versiones 1 y 2 se pueden configurar desde el modo privilegiado. VTP versión 3 requiere ser configurado desde el modo de configuración global.
  • Además, requiere que antes de la activación se defina el nombre de dominio y se habilite el uso del sistema de ID extendido para STP.

    Switch(config)#vtp version 3
    Cannot set the version to 3 because domain name is not configured.

    Switch(config)#vtp domain Cisco
    Changing VTP domain name from NULL to Cisco
    *Jul 8 11:18:33.215: %SW_VLAN-SP-6-VTP_DOMAIN_NAME_CHG: VTP domain name changed to Cisco.

    Switch(config)#vtp version 3
    Cannot set the version to 3 because spanning-tree extend system-id is disabled.

    Switch(config)#spanning-tree extend system-id
    Switch(config)#vtp version 3
    *Jul 8 11:25:23.203: %SW_VLAN-SP-6-OLD_CONFIG_FILE_READ: Old version 2 VLAN configuration file detected and read OK. Version 3 files will be written in the future.
  • Con excepción de los IDs comprendidos entre el 1000 y el 1017, VTP puede propagar todos los números de VLAN.
  • Soporte para PVLANs.
  • Se ha asegurado la clave de autenticación del dominio VTP en la base de datos, con 2 opciones: hidden y secret.
  • Sólo el servidor primario del dominio VTP puede actualizar la base de datos de los demás dispositivos. Adicionalmente, sólo puede haber un servidor VTP primario por dominio y por defecto todos los dispositivos son servidores secundarios.
    No es posible modificar la configuración de VLANs en los servidores secundarios y su base de datos se actualiza desde el servidor primario.
  • La base de datos que utiliza VTPv3 es extensible, pudiendo incluir información adicional para ser intercambiada. En su estado actual, incluye la configuración de MSTP.
  • Es posible desactivar aVTP globalmente o a nivel de puertos.
Enlace de referencia


4 comentarios:

  1. gracias por la info, aunque actualmente donde trabajo no usamos VTP.

    ResponderEliminar
  2. Debería ser un numero de revisión mas alto para que el equipo nuevo pueda actualizar las vlans de toda la red, incluso el servidor

    ResponderEliminar
    Respuestas
    1. Eso es precisamente lo que se quiere evitar. Que por error al agregar un nuevo dispositivo a la red se sobrescriba la base de datos de VLAN en uso, lo que potencialmente provocaría una caída de los servicios de la red en operación.
      Por ese motivo se asegura que solamente se puedan realizar cambios en el servidor primario y que por defecto todos sean servidores secundarios.

      Eliminar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.