Zurück

Einsatz von Automatisierung zur Vermeidung der VTP-Bombe

by Phillip Gervasi 6. April 2018

Zu Beginn meiner Karriere habe ich zusammen mit Ingenieuren gelacht, die Witze über die gefürchtete VTP-Bombe gemacht haben, aber ich dachte immer, die Katastrophengeschichten seien eher eine Übertreibung als die Realität. Sicherlich hatte VTP Netzwerke nicht so stark zerstört, wie sie behaupteten? Irgendetwas an der Einfachheit des VLAN-Trunking-Protokolls scheint es in den Händen eines nachlässigen Ingenieurs gefährlich zu machen. Und leider war ich dieser sorglose Ingenieur.

Das VLAN Trunking Protocol oder VTP ist eine Technologie, die verwendet wird, um die Konfiguration von VLANs schneller und einfacher zu machen. Die dynamische VLAN-Propagation stellt sicher, dass alle Switches innerhalb der VTP-Domäne konsistente VLAN-Konfigurationen haben, und es bedeutet auch, dass das Hinzufügen neuer Switches einfacher ist, da sie VLAN-Informationen dynamisch erben, sobald sie verbunden sind.

Bei unsachgemäßer Handhabung kann VTP enormen Schaden anrichten.

 

VTP findet man normalerweise mehr in der Zugriffsschicht als in anderen Teilen eines Netzwerks. Gerade in großen Organisationen werden Zugangsschalter relativ oft verschoben, getauscht, hinzugefügt und wieder hinzugefügt. Manchmal soll ein ausgefallener Schrank-Switch ersetzt werden, und manchmal soll ein Aggregations-Switch auf etwas mit mehr Ports oder größerer Bandbreite aufgerüstet werden. In einem großen Netzwerk mit vielen VLANs macht dies VTP zu einer überzeugenden Technologie, um die Switch-Bereitstellung effizienter zu gestalten.

Wenn es jedoch nicht sorgfältig behandelt wird, kann VTP enormen Schaden anrichten.

Die Verwendung von VTP erfordert fundierte Kenntnisse über ein Netzwerk, einschließlich darüber, welche Switches als VTP-Server fungieren, welche sich im transparenten Modus befinden, welche sich im Client-Modus befinden und so weiter. Insbesondere bei der Einführung neuer Switches in eine VTP-Domäne ist es wichtig, diese Art von Netzwerkbewusstsein zu haben, um einen VTP-Vorfall zu vermeiden.

Der alte Weg, eine VTP-Bombe zu verhindern

In den Tagen, als die Tinte auf meiner CCNA-Zertifizierung noch feucht war, arbeitete ich an einem Switch-Refresh-Projekt für einen großen Schulbezirk. Der Kunde gab uns mehrere Parameter wie Standard-Gateways, DNS-Server, SNMP-Community-Strings, Hostnamen und – Sie haben es erraten – VTP-Informationen, aber wir haben sein Netzwerk nie entdeckt. Wir hatten nicht die Zeit, uns mit ihrer Infrastruktur zu beschäftigen, also haben wir, anstatt herauszufinden, welcher Switch der VTP-Server war und welche Revisionsnummer er hatte, einfach Konfigurationen auf Switches gesteckt und unsere Umstellungen geplant.

Die Bereitstellung schritt schnell voran, als wir die Abende damit verbrachten, Schrankschalter auszutauschen, und ich genoss es sehr. Die Schule war ruhig und wir hatten riesige Mengen an Pizza und Kaffee, um uns am Laufen zu halten. Am Ende der Halle hatten wir eine kleine Stereoanlage, auf der unser Lieblings-Classic-Rock-Sender spielte.

Während wir darüber debattierten, wer die beste Grunge-Band aller Zeiten sei, kam ein Wachmann vorbei, um uns mitzuteilen, dass die Busgarage offline sei. Er hatte keinen Zugriff auf die Überwachungskameras, E-Mails oder das Internet. Er war nicht sehr besorgt, also waren wir es auch nicht.

Als wir jedoch sahen, dass alle APs blinkten und Wandtelefone nicht registriert waren, wussten wir, dass wir ein Problem hatten. Wir arbeiteten nur an einem Schrank, der seinen Anteil an Anschlüssen für APs und Telefone hatte, aber es sah so aus, als wäre das gesamte Gebäude ausgefallen. Tatsächlich war die Busgarage ein komplett separates Gebäude, also wussten wir, dass etwas ernsthaft abgespritzt wurde.

vtp-status anzeigen cliDie Konfiguration von VTP erfordert nur eine Handvoll Befehle, aber die manuelle Untersuchung jedes Switches, einen nach dem anderen, ist fehleranfällig und zeitaufwändig.

Glücklicherweise dauerte die Lösung des Problems nicht lange. Wir loggten uns in den Core Switch ein und stöberten herum. Es brauchte nicht einen Raum voller CCIEs, um zu sehen, dass es keine VLANs auf dem Switch gab. Nach weiteren Untersuchungen stellten wir fest, dass es im gesamten Netzwerk außer VLAN 1 natürlich keine gab.

Wir hatten die gefürchtete VTP-Bombe erlebt.

Jemand hat einen Switch mit einer höheren VTP-Revisionsnummer als alles andere angeschlossen und die VLAN-Konfiguration des gesamten Netzwerks gelöscht. Wir wussten nicht, welcher Switch der Übeltäter war oder wer von uns es getan hat, aber ich bin mir ziemlich sicher, dass ich es war, weil sich mein Kollege auf die Verkabelung konzentrierte.

VTP-Bomben sind mit dem Erscheinen der VTP-Version 3, die Schutzmaßnahmen gegen solche Dinge einführte, möglicherweise kein so ernstes Problem mehr. Die wirkliche Lösung für VTP-Vorfälle ist jedoch ein gründliches Verständnis des Netzwerks und die ordnungsgemäße Konfiguration neuer Geräte.

Für die Konfiguration von VTP sind nur wenige Befehle erforderlich, und um zu verstehen, wie VTP in einem Netzwerk funktioniert, sind ebenfalls nur wenige Befehle erforderlich. Das Problem besteht darin, dass die Zugriffsebene viele Geräte enthält, was eine gründliche Untersuchung mühsam und für einen Ingenieur leicht zu verwerfen macht.

  •  vtp-status anzeigen zeigt Informationen wie vtp-Version, Revisionsnummer, VTP-Domänenname und den Betriebsmodus an.
  • vtp-geräte anzeigen fragt die VTP-Domäne ab und zeigt erkannte VTP-Server und -Clients an.
  • Die Ausgabe von der vtp-Zähler anzeigen zeigt einem Techniker die VTP-Aktivität auf einem bestimmten Gerät.

In einem Netzwerk selbst von bescheidener Größe würde dies erfordern, von Switch zu Switch zu gehen, bis ein Techniker sicher ist, dass er oder sie alle Geräte abdeckt. Dies manuell durchzuführen ist bestenfalls fehleranfällig und mühsam. Im schlimmsten Fall vermeiden es Ingenieure ganz.

Der neue Weg, eine VTP-Bombe zu verhindern

NetBrain macht dies mühsam – oder jede andere manuelle Konfiguration auf vielen Geräten. Sie wurden speziell entwickelt, um diese Art von Aufgaben zu automatisieren Runbook Technologie bietet einem Ingenieur einen Rahmen, um mit nur wenigen Klicks alle relevanten VHP-Informationen aus einem Netzwerk zu sammeln. Im Screenshot unten sehen Sie eine Dynamic Map eines entdeckten Netzwerks rechts und a Runbook auf der linken Seite verwendet, um das Sammeln von VHP-Informationen über die gesamte Infrastruktur zu automatisieren.

vtp-status prüfenDas Dynamic Map hebt VTP-Rollen, VTP-Server, VTP-Client, VTP transparent hervor; und VTP-Domänenname, VTP-Modus, VTP-Ausführungsversion, Konfigurationsversion und VTP-Pruning-Modus sind als Datentabellen auf Geräteebene eingebettet.

Beachten Sie auch eines der häufigeren VTP-bezogenen Probleme: ein Passwortkonflikt. Es ist unglaublich mühsam, ein Gerät nach dem anderen zu überprüfen, und es ist äußerst anfällig für menschliche Fehler. Weil ein Runbook Werke von A Dynamic Map von entdeckten Geräten und enthält alle Befehle, die ein Techniker ausführen würde, NetBrain ist in der Lage, einen gesamten Workflow zur Fehlerbehebung zu automatisieren – Aufgaben werden in Sekunden statt in Stunden erledigt.

Beachten Sie im folgenden Screenshot, dass die Runbook führt speziell Qapps genannte Aktionen aus, um allgemeine VTP-Konfigurationsprobleme, wie z. B. nicht übereinstimmende Passwörter, zu finden.

vtp-Kennwort stimmt nicht übereinRunbooks Führen Sie alle Schritte aus, die Sie auch tun würden – nur automatisch statt manuell, Befehl für Befehl, Gerät für Gerät. Hier prüft es auf nicht übereinstimmende Passwörter und hebt die Ergebnisse direkt auf der Seite hervor Dynamic Map.

Aber die Kraft von Dynamic Maps und Runbooks darin, wie sie einen gesamten Workflow verbessern. Im nächsten Screenshot können Sie sehen, dass nach der Überprüfung auf VTP-Kennwortkonflikte die Runbook fährt direkt mit der nächsten Aktion fort, um VTP-Schnittstellen-Nichtübereinstimmungen zu überprüfen. Auf diese Weise wird die Dynamic Map und Runbook Arbeiten Sie zusammen, um eine vollständig automatisierte Umgebung für einen Ingenieur zu schaffen, anstatt Konsolenverbindungen und veraltete Tabellenkalkulationen verwenden zu müssen.

vtp-schnittstellenkonfliktDann ist die Runbook führt automatisch eine weitere Qapp aus, um nach Schnittstellenkonflikten zu suchen – wieder auf allen Geräten auf einen Schlag.

Mein Kollege und ich konnten die VLANs wieder auf den Core-Switch bringen und einen Teil des Schadens reparieren, aber wir mussten immer noch Switch für Switch gehen, um die Nachzügler zu finden und VLANs in sie einzufügen. Wir bekamen ein Ohr für unsere Nachlässigkeit, aber letztendlich haben wir alles zum Laufen gebracht, obwohl es Stunden der manuellen Konfiguration gedauert hat.

Da ich meinen eigenen Vorfall im Zusammenhang mit VTP erlebt habe, lache ich nicht mehr viel, wenn jemand einen VTP-Witz macht. Leider war ich die Ursache dafür, aber es lag nicht daran, dass ich VTP nicht verstand oder die Befehle nicht kannte. Ich habe meine Sorgfaltspflicht nicht erfüllt.

Die Macht der Dynamic Maps und Runbooks darin, wie sie einen gesamten Workflow verbessern.

 

Unbedingt nutzen NetBrainIst kostenlos Sofortige Testversion um selbst zu sehen, wie mächtig Dynamic Maps und Runbooks sind in der Automatisierung eines Unternehmensnetzwerks. Dutzende von vorgefertigten Labs, die sich auf bestimmte Technologien konzentrieren, einschließlich VTP, bieten eine Sandbox, um mit allen zu experimentieren NetBrain's Eigenschaften.

Das Erkennen eines Netzwerks ist mühsam und zeitaufwändig, aber es zu vernachlässigen, kann zu großen Problemen führen. Automatisierungssoftware, die menschliches Versagen mindert und den Schmerz abstrahiert, erleichtert nicht nur unsere Arbeit, sondern schützt auch vor Ausfällen wie der gefürchteten VTP-Bombe.

Verbunden