14 de enero de 2013

VTP versión 3

Vinculado a la operación de los switches LAN y la configuración de VLANs hay un protocolo que estudiamos pero aplicamos con muchas prevenciones: VTP (VLAN trunk protocol).
Es que en sus versiones 1 y 2 aparecen diversas vulnerabilidades que hacen complicada su adopción. En primer lugar, la posibilidad de que la introducción de un dispositivo con un número de revisión más bajo fuerce la sobre escritura de la base de datos de VLANs de los switches; pero también, el hecho de que la configuración por  defecto del protocolo haga que el nombre de dominio se aprenda dinámicamente.
Desde esta perspectiva, un protocolo diseñado para simplificar y facilitar la administración de VLANs en entornos de redes conmutadas extensas, es evitado para prevenir potenciales problemas operativos que significarían potencialmente la salida de operación de la red.
Una respuesta a estas dificultades es la versión 3 de VTP, la versión quizás menos conocida de este protocolo.

La versión 3 de VTP
Se encuentra disponible a partir de IOS 12.2(33)SXI en Catalyst 6500; IOS 12.2.50SG2 en Catalyst 4500.
Es compatible con VTP versión 2, pero no con versión 1.
Entre las novedades que introduce, se destacan:
  • Fuerza la configuración manual, no hay más configuración automática.
  • VTP versiones 1 y 2 se pueden configurar desde el modo privilegiado. VTP versión 3 requiere ser configurado desde el modo de configuración global.
  • Además, requiere que antes de la activación se defina el nombre de dominio y se habilite el uso del sistema de ID extendido para STP.

    Switch(config)#vtp version 3
    Cannot set the version to 3 because domain name is not configured.

    Switch(config)#vtp domain Cisco
    Changing VTP domain name from NULL to Cisco
    *Jul 8 11:18:33.215: %SW_VLAN-SP-6-VTP_DOMAIN_NAME_CHG: VTP domain name changed to Cisco.

    Switch(config)#vtp version 3
    Cannot set the version to 3 because spanning-tree extend system-id is disabled.

    Switch(config)#spanning-tree extend system-id
    Switch(config)#vtp version 3
    *Jul 8 11:25:23.203: %SW_VLAN-SP-6-OLD_CONFIG_FILE_READ: Old version 2 VLAN configuration file detected and read OK. Version 3 files will be written in the future.
  • Con excepción de los IDs comprendidos entre el 1000 y el 1017, VTP puede propagar todos los números de VLAN.
  • Soporte para PVLANs.
  • Se ha asegurado la clave de autenticación del dominio VTP en la base de datos, con 2 opciones: hidden y secret.
  • Sólo el servidor primario del dominio VTP puede actualizar la base de datos de los demás dispositivos. Adicionalmente, sólo puede haber un servidor VTP primario por dominio y por defecto todos los dispositivos son servidores secundarios.
    No es posible modificar la configuración de VLANs en los servidores secundarios y su base de datos se actualiza desde el servidor primario.
  • La base de datos que utiliza VTPv3 es extensible, pudiendo incluir información adicional para ser intercambiada. En su estado actual, incluye la configuración de MSTP.
  • Es posible desactivar aVTP globalmente o a nivel de puertos.
Enlace de referencia


6 comentarios:

  1. gracias por la info, aunque actualmente donde trabajo no usamos VTP.

    ResponderBorrar
  2. Debería ser un numero de revisión mas alto para que el equipo nuevo pueda actualizar las vlans de toda la red, incluso el servidor

    ResponderBorrar
    Respuestas
    1. Eso es precisamente lo que se quiere evitar. Que por error al agregar un nuevo dispositivo a la red se sobrescriba la base de datos de VLAN en uso, lo que potencialmente provocaría una caída de los servicios de la red en operación.
      Por ese motivo se asegura que solamente se puedan realizar cambios en el servidor primario y que por defecto todos sean servidores secundarios.

      Borrar
  3. SI ud dice que en vtp ver 3 solo se usara vtp primary y el resto vtp server. Para que nos sirve mode client vtp ver3?

    ResponderBorrar
    Respuestas
    1. En VTP versión 3 sigue habiendo 3 modos: servidor, transparente y cliente.
      La diferencia que se introduce es que, si bien todos los dispositivos son servidores por defecto, solamente uno en el dominio puede operar como servidor primario y los demás son servidores secundarios por defecto.
      Algo semejante a lo que ocurre en las versiones anteriores: todos los dispositivos son servidores por defecto. No hay clientes por defecto.
      El servidor primario (uno solo por dominio), es el único en el que se pueden realizar cambios de configuración. Los demás, como servidores secundarios, operan como respaldos del primario.
      La función del cliente es la misma que en las versiones anteriores, recibe la base de datos del servidor y no permite realizar cambios, y en la versión 3, nunca será respaldo del servidor primario.
      ¿Te "sirve" el modo cliente?
      Eso dependerá de tu diseño y tus opciones de operación.

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.