File:CiscoVTP.png

Latina: VTP

VTP son las siglas de VLAN Trunking Protfddfocol, un protocolo de mensajes de nivel 2 usado para configurar y administrar VLANs en equipos Cisco. Permite centralizar y simplificar la administración en un domino de VLANs, pudiendo crear, borrar y renombrar las mismas, reduciendo así la necesidad de configurar la misma VLAN en todos los nodos. El protocolo VTP nace como una herramienta de administración para redes de cierto tamaño, donde la gestión manual se vuelve inabordable. Conceptos de VTP. El rol de VTP es mantener la configuración de VLAN de manera unificada en todo un dominio administrativo de red común. VTP es un protocolo de mensajería que usa tramas de enlace troncal de Capa 2 para agregar, borrar y cambiar el nombre de las VLAN en un solo dominio. VTP también admite cambios centralizados que se comunican a todos los demás switches de la red. Los mensajes de VTP se encapsulan en las tramas del protocolo de enlace Inter-Switch (ISL), propietario de Cisco, o IEEE 802.1Q y se envían a través de enlaces troncales a otros dispositivos. En el caso de las tramas IEEE 802.1Q, se usa un campo de 4 bytes para etiquetar la trama. Ambos formatos transportan el identificador de VLAN. En el caso de paquetes VTP encapsulados en dot1q, tanto la cabecera ISL (ISL Header) como CRC son sustituidos por etiquetas dot1q. Por otro lado, salvo el formato de la cabecera VTP (VTP Header), que puede variar, todos los paquetes VTP contienen los siguientes campos en la cabecera: Versión del protocolo VTP: 1, 2 o 3 Tipos de mensaje VTP: Resumen de advertencias Subconjunto de advertencias Peticiones de advertencias Mensajes de unión VTP Longitud del dominio de control Nombre del dominio de control Aunque los puertos de switch generalmente se asignan a una sola VLAN, los puertos de enlace troncal por defecto transportan tramas desde todas las VLAN. VTP puede operar sin autenticación, en cuyo caso resulta fácil para un atacante falsificar paquetes VTP para añadir, cambiar o borrar la información sobre las VLANs. Existen herramientas disponibles gratuitamente para realizar esas operaciones. Debido a eso se recomienda establecer un password para el dominio VTP y usarlo en conjunto con la función hash MD5 para proveer autenticación a los paquetes VTP. Resulta de vital importancia para los enlaces troncales de la VLAN. Operaciones VTP. VTP opera en 3 modos distintos: Servidor: El modo VTP predeterminado es el modo servidor. Desde él se pueden crear, eliminar o modificar VLANs y otros parámetros de configuración que afectan a todo el dominio VTP. Su cometido es anunciar su configuración al resto de switches del mismo dominio VTP y sincronizar dicha configuración con la de otros servidores, basándose en los mensajes VTP recibidos a través de sus enlaces trunk. Debe haber al menos un servidor. Se recomienda autenticación MD5. En modo servidor, las configuraciones de VLAN se guardan en la memoria de acceso aleatoria no volátil (NVRAM). El modo servidor debe elegirse para el switch que se usará para crear, modificar o suprimir VLAN. Cliente: En este modo no se pueden crear, eliminar o modificar VLANs, tan sólo sincronizar esta información basándose en los mensajes VTP recibidos de servidores en el propio dominio. Un cliente VTP sólo guarda la información de la VLAN para el dominio completo mientras el switch está activado. Un reinicio del switch borra la información de la VLAN. Un cliente VTP no guarda la configuración VLAN en memoria no volátil. Tanto en modo cliente como en modo servidor, los switches sincronizan su configuración VLAN con la del switch que tenga el número de revisión más alto en el dominio VTP. El modo cliente debe configurarse para cualquier switch que se añada al dominio VTP para prevenir un posible reemplazo de configuraciones de VLAN. Transparente: Desde este modo tampoco se pueden crear, eliminar o modificar VLANs que afecten a los demás switches. Su nombre se debe a que no procesa las actualizaciones VTP recibidas, tan sólo las reenvía a los switches del mismo dominio. Un switch que opera en VTP transparente no crea avisos VTP ni sincroniza su configuración de VLAN, con la información recibida desde otros switch del dominio de administración. Reenvía los avisos VTP recibidos desde otros switches que forman parte del mismo dominio de administración. Un switch configurado en el modo transparente puede crear, suprimir y modificar VLAN, pero los cambios no se transmiten a otros switch del dominio, afectan tan solo al switch local. El modo transparente debe usarse en un switch que necesite para avisos VTP a otros switches, pero que necesitan también capacidad para administrar sus VLAN independientemente. La pertenencia de los puertos de switch a las VLAN se asigna manualmente puerto a puerto (pertenencia VLAN estática o basada en puertos). Pruning VTP Por defecto todas las líneas troncales transportan el tráfico de todas las Vlans configuradas. Algún tráfico innecesario podría inundar los enlaces perdiendo efectividad. El recorte VTP permite determinar cuál es el tráfico que inunda el enlace troncal evitando enviarlo a los switches que no tengan configurados puertos de la vlan destino. Configuración predeterminada de VTP. Las configuraciones VTP en una red son controladas por un número de revisión. Si el número de revisión de una actualización recibida por un switch en modo cliente o servidor es más alto que la revisión anterior, entonces se aplicará la nueva configuración. De lo contrario se ignoran los cambios recibidos. Cuando se añaden nuevos dispositivos a un dominio VTP, se deben resetear los números de revisión de todo el dominio VTP para evitar conflictos. Se recomienda tener mucho cuidado al usar VTP cuando haya cambios de topología, ya sean lógicos o físicos. Realmente no es necesario resetear todos los números de revisión del dominio. Sólo hay que asegurarse de que los switches nuevos que se agreguen al dominio VTP tengan números de revisión más bajos que los que están configurados en la red. Si no fuese así, bastaría con eliminar el nombre del dominio del switch que se agrega. Esa operación vuelve a poner a cero su contador de revisión. El VTP sólo aprende sobre las VLAN de rango normal (ID de VLAN 1 a 1005). Las VLAN de rango extendido (ID mayor a 1005) no son admitidas por el VTP. El VTP guarda las configuraciones de la VLAN en la base de datos de la VLAN, denominada vlan.dat. Para que dos equipos que utilizan VTP puedan compartir información sobre VLAN, es necesario que pertenezcan al mismo dominio. Los switches descartan mensajes de otro dominio VTP.

Cuando se configura VTP es importante elegir el modo adecuado, ya que VTP es una herramienta muy potente y puede crear problemas en la red. En un mismo dominio VTP la información de VLAN configurada en el servidor se transmite a todos los clientes