VTP协议的配置与分析

1VTP协议的配置与分析梁忠杰（广西教育学院数学与计算机科学系08级计算机A班）摘要：随着计算机网络的不断发展和普及，计算机网络带来了无穷的资源，但随之而来的网络安全问题也显得尤为重要，文章重点介绍VTP协议的配置，通过配置VTP协议，使交换机之间能够互相传递VLAN信息，实现了VLAN的统一配置和统一管理，从而达到确保网络安全的目的。关键词：VLAN；VTP协议；VTP域；VTP通告；VTP修剪；VTP协议配置1引言：随着信息化的不断扩展，各类网络版应用软件推广应用，计算机网络在提高数据传输效率，实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。[1]为了确保各项工作的安全高效运行，保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提，因此VTP协议的配置就显得尤为重要。2VTP协议概述VLAN中继协议（VTP，VLANTRUNKINGPROTOCOL）是CISCO专用协议，大多数交换机都支持该协议．VTP负责在VTP域内同步VLAN信息，这样就不必在每个交换上配置相同的VLAN信息。VTP还提供一种映射方案，以便通信流能跨越混合介质的骨干。VTP最重要的作用是，将进行变动时可能会出现的配置不一致性降至最低。VTP也有一些缺点，这些缺点通常都与生成树协议有关。2.1VTP协议产生的背景：一般来说，在大型企业的局域网中，交换机的数量非常多，而各个交换机的配置基本相同，因此，企业交换网络的配置和管理过程中存在非常多的重复性劳动，而且，也会由此产生一些配置错误，使网络出现故障。为了方便配置与管理实现在单个控制点上管理整个网络，cisco公司开发了VTP（VLANTrunkProtocol）——虚拟局域网中继协议，通过使用VTP协议，交换机之间能够互相传递VLAN信息，实现了VLAN的统一配置和统一管理。2.2VTP协议的作用VLAN中继协议（VTP）利用第2层中继帧，在一组交换机之间进行VLAN通信。VTP从一个中心控制点开始，维护整个局域网上VLAN的添加、删除和重命名工作，确保配置的一致性。2.3VTP的优点2.3.1保持配置的一致性2.3.2提供跨不同介质类型如ATMFDDI和以太网配置虚拟局域网的方法2.3.3提供跟踪和监视虚拟局域网的方法2.3.4提供检测加到另一个交换机上的虚拟局域网的方法2.3.5提供从一个交换机在整个管理域中增加虚拟局域网的方法3VTP协议的工作原理2VTP是一种消息协议，使用第2层帧，在全网的基础上管理VLAN的添加、删除和重命名，以实现VLAN配置的一致性。可以用VTP管理网络中VLAN1到1005。有了VTP，就可以在一台交换机上集中进行配置变更，所作的变更会被自动传播到网络中所有其他的交换机上。（前提是在同一个VTP域）为了实现此功能，必须先建立一个VTP管理域，以使它能管理网络上当前的VLAN。在同一管理域中的交换机共享它们的VLAN信息，并且，一个交换机只能参加到一个VTP管理域，不同域中的交换机不能共享VTP信息。3.1交换机交换的信息，交换机间交换下列信息：3.1.1管理域域名3.1.2配置的修订号3.1.3已知虚拟局域网的配置信息。交换机使用配置修正号，来决定当前交换机的内部数据是否应该接受从其他交换机发来的VTP更新信息。如果接收到的VTP更新配置修订号与内部数据库的修订号相同域者比它小，交换机忽略更新。否则，就更新内部数据库，接受更新信息。VTP管理域在安全模式下，必须配置一个在VTP域中所有交换机惟一的口令。3.2VTP的运行特点VTP的运行有如下特点：VTP通过发送到特定MAC地址01－00－0C－CC－CC－CC的组播VTP消息进行工作。VTP通告只通过中继端口传递。VTP消息通过VLAN1传送．（这就是不能将VLAN1从中继链路中去除的原因）在经过了DTP自动协商，启动了中继之后，VTP信息就可以沿着中继链路传送。VTP域内的每台交换机都定期在每个中继端口上发送通告到保留的VTP组播地址，VTP通告可以封装在ISL或者IEEE802。3.3VTP域VTP域，也称为VLAN管理域，由一个以上共享VTP域名的相互接连的交换机组成。要使用VTP，就必须为每台交换机指定VTP域名。VTP信息只能在VTP域内保持。一台交换机可属于并且只属于一个VTP域．缺省情况下，CATALYST交换机处于VTP服务器模式，并且不属于任何管理域，直到交换机通过中继链路接收了关于一个域的通告，或者在交换机上配置了一个VLAN管理域，交换机才能在VTP服务器上把创建或者更改VLAN的消息通告给本管理域内的其他交换机。如果在VTP服务器上进行了VLAN配置变更，所做的修改会传播到VTP域内的所有交换机上。如果交换机配置为“透明”模式，可以创建或者修改VLAN，但所做的修改只影响单个的交换机。控制VTP功能的一项关键参数是VTP配置修改编号。这个32位的数字表明了VTP配置的特定修改版本。配置修改编号的取值从0开始，每修改一次，就增加1直到达到4294967295，然后循环归0，并重新开始增加。每个VTP设备会记录自己的VTP配置修改编号；VTP数据包会包含发送者的VTP配置修改编号。这一信息用于确定接收到的信息是否比当前的信息更新。将交换机的配置修改号置为0，只需要禁中继，改变VTP的名称，并再次启用中继。3.4VTP域的要求：实现VTP功能的前提是这些交换机属于同一个VTP域。因此，首先必须建立一个VTP管理域，在同一管理域下不同的交换机共享它们的VLAN信息。一个交换机只能加入到一个VTP域中。不同的交换机不能共享VTP信息。组建一个VTP域要有3个条件：3.4.1域内的每台交换机必须使用相同的VTP域名，不论是通过配置实现，还是由交换机自动学到。3.4.2CATALYST交换机必须是相邻的，这意味着，VTP域内的所有交换机形成了一颗相互连接的树．每台交换机都通过这棵树与其他交换机相互。33.4.3在所有的交换机之间，必须启用中继。默认情况下，catalyst交换机处于VTP服务器模式，并且不属于任何一个管理域。如果未配置管理域的交换机在中继链路上收到了VTP通告，它就会学习管理域的名称和VTP配置修改编号。而对于已配置了或者自己学习到了管理域的交换机来说，如果通告中的管理域的名称与当前名称不同或者配置修改编号更小，交换机就会忽略该通告。同一VTP域中，如果在VTP服务器上进行了VLAN配置变更，所做的修改会传播到其他所有交换机上。VTP通告会通过中继连接进行传播，包括ISL、IEEE802.1Q。3.5VTP的运行模式VTP模式有3种，分别是：3.5.1服务器模式（SERVER缺省）VTP服务器控制着它们所在域中VALN的生成和修改．所有的VTP信息都被通告在本域中的其他交换机，而且，所有这些VTP信息都是被其他交换机同步接收的。3.5.2客户机模式（CLIENT）VTP客户机不允许管理员创建、修改或删除VLAN。它们监听本域中其他交换机的VTP通告，并相应修改它们的VTP配置情况。3.5.3透明模式（TRANSPARENT）VTP透明模式中的交换机不参与VTP。当交换机处于透明模式时，它不通告其VLAN配置信息。而且，它的VLAN数据库更新与收到的通告也不保持同步。但它可以创建和删除本地的VLAN。不过，这些VLAN的变更不会传播到其他任何交换机上。[2]各种运行模式的状态功能服务器模式客户端模式透明模式提供VTP消息√√×监听VTP消息√√×修改VLAN√×√(本地有效）记住VLAN√×√（在不同的版本有不同的结果）√（本地有效）3.6VTP的通告3.6.1VTP通告的信息使用VTP时，加入VTP域的每台交换机在其中继端口上通告如下信息。3.6.1.1管理域3.6.1.2版本号3.6.1.3配置修改编号3.6.1.4它所知道的VLAN3.6.1.5每个已知VLAN的某些参数这些通告的数据帧被发送到一个组播的地址：01-00-0C-CC-CC-CC，以使所有相邻的设备都能收到。但是这些数据帧不是通过普通的桥接程序处理的。交换机接收和发送VTP组播地址的帧，并用专门的处理程序对它们进行处理。这样，域中所有交换机就可以了解到发送这些帧的设备中现在的所配的新VLAN。新的VLAN必须在管理域内的一台处于服务器模式的交换机上创建和配置。该信息可被同一管理域中的所有其他设备自动学到。3.6.2VTP通告的类型有2种类型的通告：来自客户机的请求，由客户机在启动时发出，用以获取信息。来自服务器的响应3.6.3VTP通告信息的类型有3种类型的消息：来自客户机的通告请求4汇总通告子集通告3.6.4VTP通告包含的信息VTP通告中可包含如下信息：管理域名称配置版本号MD5摘要－－当配置了口令后，MD5是与VTP一起发送的口令．如果口令不匹配，更新将被忽略。更新者身份－－发送VTP汇总通告的交换机的身份。VTP通告处理以配置修订号为0为起点。每当随后的字段变更一项时，这个修订号就加1，直到VTP通告被发送出去为止。3.6.5修订号初始化为0的方法VTP修订号存储在NVRAM中，交换机的电源开关不会改变这个设定值。要将修订号初始化为0，可以用下列方法：将交换机的VTP模式更改为透明模式，然后再改为服务器模式。将交换机VTP的域名更改一次，再更改回原来的域名。使用clearconfigall命令，清除交换机的配置和VTP信息。再次启动。3.6.63种VTP消息类型3.6.6.1汇总通告用于通知邻接的CATALYST交换机目前的VTP域名和配置修改编号．缺省情况下，CATALYST交换机每5分钟发送一次汇总通告。当交换机收到了汇总通告数据包时，它会对比VTP域名：如果域名不同，就忽略此数据包如果域名相同，则进一步对比配置修改编号如果交换机自身的配置修改编号更高或与之相等，就忽略此数据包。如果更小，就发送通告请求。3.6.6.2子集通告如果在VTP服务器上增加、删除或者修改了VLAN，“配置修改编号”就会增加，交换机会首先发送汇总通告，然后发送一个或多个子集通告。挂起或激活某个VLAN，改变VLAN的名称或者MTU，都会触发子集通告。子集通告中包括VLAN列表和相应的VLAN信息．如果有多个VLAN，为了通告所有的信息，可能需要发送多个子集通告。3.6.6.3通告请求交换机在下列情况下会发出VTP通告请求：交换机重新启动后VTP域名变更后交换机接到了配置修改编号比自己高的VTP汇总通告3.7VTP修剪VTP修剪（VTPPRUNING）是VTP的一个功能，它能减少中继端口上不必要信息量。在CISCO交换上，VTP修剪功能缺省是关闭的。缺省情况下，发给某个VLAN的广播会送到每一个在中继链路上承载该VLAN的交换机。即使交换机上没有位于那个VLAN的端口也是如此。VTP通过修剪，来减少没有必要扩散的通信量，来提高中继链路的带宽利用率。3.8VTP的版本在VTP管理域中，有两个VTP版本可供采用，ciscocatalyst型交换机既可运行版本1，也可运行版本2，但是，一个管理域中，这两个版本是不可互操作的。因此，在同5一个VTP域中，每台交换机必须配置相同的VTP版本。交换机上默认的版本协议是VTP版本1．如果要在域中使用版本2，只要在一台服务器模式交换机配置VTP版本2就可以了。VTP版本2增加了版本1所没有的以下主要功能：3.8.1与版本相关的透明的模式在VTP版本1中，一个VTP透明模式的交换机在用VTP转发信息给其他交换机时，先检查VTP版本号和域名是否与本机相匹配．匹配时，才转发该消息．VTP版本2在转发信息时，不检查版本号和域名。3.8.2令牌环支持VTP版本2支持令牌环交换和令牌环VLAN，这个是VTP版本2和版本1的最大区别。3.8.3设置VTP版本2的步骤如下：进入全局配置模式：switch#configterminalswitch(config)#vtpversion2switch(config)#endswitch#showv