Zu Beginn meiner Karriere habe ich zusammen mit Ingenieuren gelacht, die Witze über die gefürchtete VTP-Bombe gemacht haben, aber ich dachte immer, die Katastrophengeschichten seien eher eine Übertreibung als die Realität. Sicherlich hatte VTP Netzwerke nicht so stark zerstört, wie sie behaupteten? Irgendetwas an der Einfachheit des VLAN-Trunking-Protokolls scheint es in den Händen eines nachlässigen Ingenieurs gefährlich zu machen. Und leider war ich dieser sorglose Ingenieur.
Das VLAN Trunking Protocol (VTP) ist eine Technologie, mit der sich VLANs schneller und einfacher konfigurieren lassen. Die dynamische VLAN-Ausbreitung stellt sicher, dass alle Switches innerhalb der gesamten VTP-Domäne über konsistente VLAN-Konfigurationen verfügen. Außerdem ist das Hinzufügen neuer Switches einfacher, da sie nach der Verbindung dynamisch VLAN-Informationen übernehmen.
VTP findet man normalerweise mehr in der Zugriffsschicht als in anderen Teilen eines Netzwerks. Gerade in großen Organisationen werden Zugangsschalter relativ oft verschoben, getauscht, hinzugefügt und wieder hinzugefügt. Manchmal soll ein ausgefallener Schrank-Switch ersetzt werden, und manchmal soll ein Aggregations-Switch auf etwas mit mehr Ports oder größerer Bandbreite aufgerüstet werden. In einem großen Netzwerk mit vielen VLANs macht dies VTP zu einer überzeugenden Technologie, um die Switch-Bereitstellung effizienter zu gestalten.
Wenn es jedoch nicht sorgfältig behandelt wird, kann VTP enormen Schaden anrichten.
Die Verwendung von VTP erfordert fundierte Netzwerkkenntnisse, einschließlich der Frage, welche Switches als VTP-Server fungieren und in welchem Servermodus sie sich befinden – ob transparenter Modus oder Clientmodus usw. Insbesondere bei der Einführung neuer Switches in eine VTP-Domäne ist diese Art von Netzwerkkenntnis von entscheidender Bedeutung, um einen VTP-Vorfall zu vermeiden.
Was ist VTP im Netzwerk?
VTP, Bedeutung VLAN-Trunking-Protokollist ein zweischichtiges Protokoll, das VLAN-Konfigurationen automatisch in einem Switch-Netzwerk verwaltet und verbreitet. Über VTP-Befehle werden Daten zwischen Switches gesendet, um ihre Datenbanken zu synchronisieren, wodurch die Konsistenz der VLAN-Konfiguration in der richtigen VTP-Domäne aufrechterhalten wird. Der Netzwerktechniker überwacht die VTP-Anzeigen vom Server, um sicherzustellen, dass Konfigurationsaktualisierungen des virtuellen lokalen Netzwerks ordnungsgemäß an alle Switches in der Domäne gesendet werden.
Da VTP-Netzwerke mehrere Switches in derselben VTP-Domäne vereinfachen und automatisieren, wird es in Unternehmen normalerweise bevorzugt. Während einzelne Konfigurationen für kleine Netzwerkadministratoren möglicherweise einfach genug sind, um sie manuell durchzuführen, ist die Konfiguration von VTP für größere Netzwerke notwendig, um zu vermeiden, dass man für die Konfiguration von Switch zu Switch wechseln muss.
Stellen Sie sich vor, Sie müssten physisch auf Hunderte von Switches zwischen Geräten zugreifen und diese manuell konfigurieren. Das VTP-Protokoll vereinfacht die Konfiguration, da es von einem zentralen Server aus arbeitet, Datenbanken synchronisiert und Konsistenz durch einen VTP-Servermodus gewährleistet.
Für Organisationen, deren Netzwerke ständig erweitert werden, stellt VTP die Konfiguration neu hinzugefügter Switches sicher. Es automatisiert den Switch-Onboarding-Prozess, was die manuelle Arbeit der Administratoren fehlerfrei erleichtert. Wenn Sie ein neues VLAN erstellen, stellt VTP automatisch sicher, dass es sich in der gesamten VTP-Verwaltungsdomäne verbreitet.
Es ist wichtig zu beachten, dass, wenn Sie ein VLAN-Trunking-Protokoll für die Automatisierung verwenden, dessen Kernfunktionen zur VTP-Ausbreitung und die obligatorischen Datenbanksynchronisierungsfunktionen indirekt VTP-Bombing durch verzerrte VLAN-Konfigurationsaktualisierungen ermöglichen. Die VTP-Netzwerkprobleme treten typischerweise auf, wenn der VTP-Modus nicht transparent ist, z. B. wenn Switches nicht auf „VTP-Modus transparent“ eingestellt sind, was ein erhebliches Risiko für die Netzwerkstabilität und -sicherheit darstellt. Lesen Sie weiter, um herauszufinden, wie Sie eine VTP-Bombe verhindern können.
Der alte Weg, eine VTP-Bombe zu verhindern
Als die Tinte auf meinem CCNA-Zertifikat noch feucht war, arbeitete ich an einem Switch-Refresh-Projekt für einen großen Schulbezirk. Der Kunde gab uns mehrere Parameter wie Standard-Gateways, DNS-Server, SNMP-Community-Strings, Hostnamen und – Sie ahnen es schon – VTP-Informationen, aber wir haben nie eine Netzwerkanalyse durchgeführt. Wir hatten nicht die Zeit, uns in die Infrastruktur einzuarbeiten, also haben wir, anstatt herauszufinden, welcher Switch der VTP-Server war und welche Revisionsnummer er hatte, einfach Konfigurationen auf die Switches geklatscht und unsere Umstellungen geplant.
Die Bereitstellung schritt schnell voran, als wir die Abende damit verbrachten, Schrankschalter auszutauschen, und ich genoss es sehr. Die Schule war ruhig und wir hatten riesige Mengen an Pizza und Kaffee, um uns am Laufen zu halten. Am Ende der Halle hatten wir eine kleine Stereoanlage, auf der unser Lieblings-Classic-Rock-Sender spielte.
Während wir darüber debattierten, wer die beste Grunge-Band aller Zeiten sei, kam ein Wachmann vorbei, um uns mitzuteilen, dass die Busgarage offline sei. Er hatte keinen Zugriff auf die Überwachungskameras, E-Mails oder das Internet. Er war nicht sehr besorgt, also waren wir es auch nicht.
Als wir jedoch sahen, dass alle APs blinkten und Wandtelefone nicht registriert waren, wussten wir, dass wir ein Problem hatten. Wir arbeiteten nur an einem Schrank, der seinen Anteil an Anschlüssen für APs und Telefone hatte, aber es sah so aus, als wäre das gesamte Gebäude ausgefallen. Tatsächlich war die Busgarage ein komplett separates Gebäude, also wussten wir, dass etwas ernsthaft abgespritzt wurde.
Die Konfiguration von VTP erfordert nur eine Handvoll Befehle, aber die manuelle Untersuchung jedes Switches, einen nach dem anderen, ist fehleranfällig und zeitaufwändig.
Glücklicherweise dauerte die Lösung des Problems nicht lange. Wir loggten uns in den Core Switch ein und stöberten herum. Es brauchte nicht einen Raum voller CCIEs, um zu sehen, dass es keine VLANs auf dem Switch gab. Nach weiteren Untersuchungen stellten wir fest, dass es im gesamten Netzwerk außer VLAN 1 natürlich keine gab.
Wir hatten die gefürchtete VTP-Bombe erlebt.
Jemand hat einen Switch mit einer höheren VTP-Revisionsnummer als alles andere angeschlossen und die VLAN-Konfiguration des gesamten Netzwerks gelöscht. Wir wussten nicht, welcher Switch der Übeltäter war oder wer von uns es getan hat, aber ich bin mir ziemlich sicher, dass ich es war, weil sich mein Kollege auf die Verkabelung konzentrierte.
VTP-Bomben sind mit dem Erscheinen der VTP-Version 3, die Schutzmaßnahmen gegen solche Dinge einführte, möglicherweise kein so ernstes Problem mehr. Die wirkliche Lösung für VTP-Vorfälle ist jedoch ein gründliches Verständnis des Netzwerks und die ordnungsgemäße Konfiguration neuer Geräte.
Für die Konfiguration von VTP sind nur wenige Befehle erforderlich, und um zu verstehen, wie VTP in einem Netzwerk funktioniert, sind ebenfalls nur wenige Befehle erforderlich. Das Problem besteht darin, dass die Zugriffsebene viele Geräte enthält, was eine gründliche Untersuchung mühsam und für einen Ingenieur leicht zu verwerfen macht.
- „VTP-Status anzeigen“ zeigt Informationen wie VTP-Version, Revisionsnummer, korrekten VTP-Domänennamen und den Betriebsmodus an.
- „Sshow VTP devices“ fragt die VTP-Domäne ab und zeigt erkannte VTP-Server und -Clients an.
- Die Ausgabe des Befehls „show VTPvtp counters“ zeigt einem Techniker die VTP-Aktivität auf einem bestimmten Gerät.
In einem Netzwerk selbst von bescheidener Größe würde dies erfordern, von Switch zu Switch zu gehen, bis ein Techniker sicher ist, dass er oder sie alle Geräte abdeckt. Dies manuell durchzuführen ist bestenfalls fehleranfällig und mühsam. Im schlimmsten Fall vermeiden es Ingenieure ganz.
Der neue Weg, eine VTP-Bombe zu verhindern
NetBrain macht dies mühsam – oder jede andere manuelle Konfiguration auf vielen Geräten. Sie wurden speziell entwickelt, um diese Art von Aufgaben zu automatisieren Runbook Technologie bietet einem Ingenieur einen Rahmen, um mit nur wenigen Klicks alle relevanten VHP-Informationen aus einem Netzwerk zu sammeln. Im Screenshot unten sehen Sie eine Dynamic Map eines entdeckten Netzwerks rechts und a Runbook auf der linken Seite verwendet, um das Sammeln von VHP-Informationen über die gesamte Infrastruktur zu automatisieren.
Die Dynamic Map hebt VTP-Rollen, VTP-Server, VTP-Client, VTP transparent hervor; und VTP-Domänenname, VTP-Modus, VTP-Ausführungsversion, Konfigurationsversion und VTP-Pruning-Modus sind als Datentabellen auf Geräteebene eingebettet.
Beachten Sie auch eines der häufigeren VTP-bezogenen Probleme: ein Passwortkonflikt. Es ist unglaublich mühsam, ein Gerät nach dem anderen zu überprüfen, und es ist äußerst anfällig für menschliche Fehler. Weil ein Runbook Werke von A Dynamic Map von entdeckten Geräten und enthält alle Befehle, die ein Techniker ausführen würde, NetBrain ist in der Lage, einen gesamten Workflow zur Fehlerbehebung zu automatisieren – Aufgaben werden in Sekunden statt in Stunden erledigt.
Beachten Sie im folgenden Screenshot, dass die Runbook führt speziell Qapps genannte Aktionen aus, um allgemeine VTP-Konfigurationsprobleme, wie z. B. nicht übereinstimmende Passwörter, zu finden.
Runbooks Führen Sie alle Schritte aus, die Sie auch tun würden – nur automatisch statt manuell, Befehl für Befehl, Gerät für Gerät. Hier prüft es auf nicht übereinstimmende Passwörter und hebt die Ergebnisse direkt auf der Seite hervor Dynamic Map.
Aber die Kraft von Dynamic Maps und Runbooks darin, wie sie einen gesamten Workflow verbessern. Im nächsten Screenshot können Sie sehen, dass nach der Überprüfung auf VTP-Kennwortkonflikte die Runbook fährt direkt mit der nächsten Aktion fort, um VTP-Schnittstellen-Nichtübereinstimmungen zu überprüfen. Auf diese Weise wird die Dynamic Map und Runbook Arbeiten Sie zusammen, um eine vollständig automatisierte Umgebung für einen Ingenieur zu schaffen, anstatt Konsolenverbindungen und veraltete Tabellenkalkulationen verwenden zu müssen.
Dann ist die Runbook führt automatisch eine weitere Qapp aus, um nach Schnittstellenkonflikten zu suchen – wieder auf allen Geräten auf einen Schlag.
Mein Kollege und ich konnten die VLANs wieder auf den Core-Switch bringen und einen Teil des Schadens reparieren, aber wir mussten immer noch Switch für Switch gehen, um die Nachzügler zu finden und VLANs in sie einzufügen. Wir bekamen ein Ohr für unsere Nachlässigkeit, aber letztendlich haben wir alles zum Laufen gebracht, obwohl es Stunden der manuellen Konfiguration gedauert hat.
Da ich selbst einen VTP-bezogenen Vorfall erlebt habe, lache ich nicht mehr viel, wenn jemand einen VTP-Witz macht. Leider war ich die Ursache dafür, aber es lag nicht daran, dass ich VTP nicht verstanden oder die Befehle nicht kannte. Ich habe meine Sorgfaltspflicht nicht erfüllt. Die Macht von Dynamic Maps und Runbooks darin, wie sie einen gesamten Workflow verbessern.
Das Erkennen eines Netzwerks ist mühsam und zeitaufwändig, aber es zu vernachlässigen, kann zu großen Problemen führen. Automatisierungssoftware, die menschliches Versagen mindert und den Schmerz abstrahiert, erleichtert nicht nur unsere Arbeit, sondern schützt auch vor Ausfällen wie der gefürchteten VTP-Bombe.