Al principio de mi carrera, me reía con los ingenieros haciendo bromas sobre la temida bomba VTP, pero siempre pensé que las historias de desastres eran más una exageración que la realidad. ¿Seguramente VTP no había destruido las redes tanto como sugerían? Hay algo en la simplicidad del protocolo de enlace troncal de VLAN que parece volverlo peligroso en manos de un ingeniero descuidado. Y, desafortunadamente, he sido ese ingeniero descuidado.
El protocolo VLAN Trunking, o VTP, es una tecnología utilizada para hacer que la configuración de VLAN sea más rápida y sencilla. La propagación dinámica de VLAN garantiza que todos los conmutadores dentro de todo el dominio VTP tengan configuraciones de VLAN consistentes y también significa que agregar nuevos conmutadores es más sencillo porque heredan dinámicamente la información de VLAN una vez conectados.
VTP normalmente se encuentra en la capa de acceso más que en otras partes de una red. Especialmente en las grandes organizaciones, los conmutadores de acceso se mueven, intercambian, agregan y vuelven a agregar con relativa frecuencia. A veces es para reemplazar un conmutador de armario fallido y, a veces, es para actualizar un conmutador de agregación a algo con más puertos o mayor ancho de banda. En una red grande con muchas VLAN, esto convierte a VTP en una tecnología convincente para hacer que la implementación de conmutadores sea más eficiente.
Sin embargo, cuando no se maneja con cuidado, el VTP puede causar un daño tremendo.
El uso de VTP requiere un sólido conocimiento de una red, incluido qué conmutadores actúan como servidores VTP y en qué modo de servidor, ya sea en modo transparente o en modo cliente, etc. Especialmente al introducir nuevos conmutadores en un dominio VTP, es fundamental tener este tipo de conocimiento de la red para evitar un incidente de VTP.
¿Qué es VTP en Redes?
VTP, que significa Protocolo de enlace troncal VLAN, es un protocolo de dos capas que administra y propaga automáticamente configuraciones de VLAN a través de una red de conmutadores. A través de comandos VTP, los datos se envían entre conmutadores para sincronizar sus bases de datos, lo que mantiene la coherencia de la configuración de VLAN en el dominio VTP correcto. El técnico de red monitorea los anuncios de VTP desde el servidor para verificar que las actualizaciones de la configuración de la red de área local virtual se transmitan correctamente a todos los conmutadores del dominio.
Debido a que las redes VTP simplifican y automatizan múltiples conmutadores en el mismo dominio VTP, las organizaciones generalmente prefieren usarlo. Si bien las configuraciones individuales pueden ser lo suficientemente simples como para que los administradores de redes pequeñas las realicen manualmente, es necesario configurar VTP para redes más grandes para evitar tener que ir de un conmutador a otro para configurarlas.
Imagine tener que acceder físicamente y configurar manualmente cientos de conmutadores entre dispositivos. El protocolo VTP simplifica las configuraciones ya que funciona desde un servidor central, sincronizando las bases de datos y garantizando la coherencia a través de un modo de servidor VTP.
Para las organizaciones cuyas redes siguen expandiéndose, VTP garantiza la configuración de conmutadores recién agregados. Automatiza el proceso de incorporación de switch, lo que facilita el trabajo manual de los administradores sin errores. Cuando crea una nueva VLAN, VTP garantiza automáticamente que se propague por todo el dominio de administración de VTP.
Es importante tener en cuenta que cuando se tiene un protocolo VLAN Trunking para automatización, sus capacidades principales de propagación de VTP y sincronización obligatoria de bases de datos permiten indirectamente el bombardeo de VTP a través de actualizaciones de configuración de VLAN distorsionadas. Los problemas de la red VTP generalmente ocurren cuando el modo VTP no es transparente, como cuando los conmutadores no están configurados en "modo VTP transparente", lo que representa un riesgo significativo para la estabilidad y seguridad de la red. Siga leyendo para descubrir cómo prevenir una bomba VTP.
La forma antigua de prevenir una bomba VTP
En los días en que la tinta de mi certificación CCNA aún estaba húmeda, trabajé en un proyecto de actualización de interruptores para un distrito escolar grande. El cliente nos proporcionó varios parámetros, como puertas de enlace predeterminadas, servidores DNS, cadenas de comunidad SNMP, nombres de host y, lo adivinó, información de VTP, pero nunca descubrimos su red. No teníamos las horas para profundizar en su infraestructura, por lo que en lugar de averiguar qué conmutador era el servidor VTP y qué número de revisión tenía, simplemente colocamos configuraciones en los conmutadores y planificamos nuestras transiciones.
La implementación progresó rápidamente a medida que pasábamos las tardes cambiando los interruptores del armario y lo disfruté mucho. La escuela estaba tranquila y teníamos grandes cantidades de pizza y café para seguir adelante. Al final del pasillo teníamos un pequeño estéreo tocando nuestra estación favorita de rock clásico.
Mientras debatíamos quién era la mejor banda de grunge de todos los tiempos, un guardia de seguridad se detuvo para decirnos que el estacionamiento de autobuses estaba desconectado. No tenía acceso a las cámaras de seguridad, correo electrónico o internet. Él no estaba muy preocupado, así que nosotros tampoco.
Sin embargo, cuando vimos que todos los puntos de acceso parpadeaban y los teléfonos de pared no estaban registrados, supimos que teníamos un problema. Estábamos trabajando en un solo armario que tenía su parte de conexiones para puntos de acceso y teléfonos, pero parecía que todo el edificio estaba caído. De hecho, el garaje de autobuses era un edificio completamente separado, por lo que sabíamos que algo estaba muy mal.
La configuración de VTP requiere solo un puñado de comandos, pero la investigación manual de cada conmutador, uno por uno, es propensa a errores y requiere mucho tiempo.
Afortunadamente, resolver el problema no tomó mucho tiempo. Iniciamos sesión en el interruptor central y hurgamos. No hacía falta una habitación llena de CCIE para ver que no había VLAN en el conmutador. Después de más investigación, vimos que no había ninguno en toda la red, además de VLAN 1, por supuesto.
Habíamos experimentado la temida bomba VTP.
Alguien conectó un conmutador con un número de revisión de VTP más alto que todo lo demás y borró toda la configuración de VLAN de la red. No sabíamos qué interruptor era el culpable o quién de nosotros lo hizo, pero estoy bastante seguro de que fui yo porque mi compañero de trabajo estaba concentrado en el cableado.
Es posible que las bombas VTP ya no sean un problema tan grave con la llegada de la versión 3 de VTP, que introdujo medidas de seguridad contra este tipo de cosas. Sin embargo, la solución real a los incidentes de VTP es una comprensión profunda de la red y la configuración adecuada de los nuevos dispositivos.
La configuración de VTP requiere solo unos pocos comandos, y obtener una buena comprensión de cómo funciona VTP en una red también requiere solo un puñado de comandos. El problema es que la capa de acceso tiene muchos dispositivos, lo que hace que una investigación exhaustiva sea tediosa y fácil de descartar para un ingeniero.
- Sshow VTP status muestra información como la versión de VTPvtp, el número de revisión, el nombre de dominio de VTP correcto y el modo de funcionamiento.
- Los dispositivos Sshow VTP consultan el dominio VTP y muestran los servidores y clientes VTP descubiertos.
- El resultado del comando show VTPvtp counters mostrará al ingeniero la actividad del VTP en un dispositivo en particular.
En una red de tamaño incluso modesto, esto requeriría pasar de un conmutador a otro hasta que un ingeniero estuviera seguro de que cubrió todos los dispositivos. En el mejor de los casos, hacer esto manualmente es tedioso y propenso a errores. En el peor de los casos, los ingenieros evitan hacerlo por completo.
La nueva forma de prevenir una bomba VTP
NetBrain elimina el dolor de hacer esto, o cualquier otra configuración manual en muchos dispositivos. Construido específicamente para automatizar este tipo de tareas, su Runbook la tecnología proporciona a un ingeniero un marco para recopilar toda la información VTP relevante de una red con solo un par de clics. En la siguiente captura de pantalla se puede ver un Dynamic Map de una red descubierta a la derecha y una Runbook a la izquierda se utiliza para automatizar la recopilación de información VTP en toda la infraestructura.
La Dynamic Map destaca los roles VTP, servidor VTP, cliente VTP, VTP transparente; y el nombre de dominio de VTP, el modo de VTP, la versión de ejecución de VTP, la versión de configuración y el modo de eliminación de VTP están integrados como tablas de datos a nivel de dispositivo.
Considere también uno de los problemas más comunes relacionados con VTP: una contraseña que no coincide. Esto es increíblemente tedioso para verificar un dispositivo a la vez y es extremadamente propenso a errores humanos. Porque un Runbook trabaja desde un Dynamic Map de dispositivos descubiertos y contiene todos los comandos que ejecutaría un ingeniero, NetBrain es capaz de automatizar todo un flujo de trabajo de solución de problemas, completando tareas en segundos en lugar de horas.
En la captura de pantalla a continuación, observe que el Runbook ejecuta específicamente acciones, llamadas Qapps, para encontrar problemas comunes de configuración de VTP, como discrepancias de contraseña.
Runbooks realice todos los pasos que usted haría, solo automáticamente en lugar de manualmente, comando por comando, dispositivo por dispositivo. Aquí, verifica las discrepancias de contraseña y resalta los resultados directamente en el Dynamic Map.
Pero el poder de Dynamic Maps y Runbooks está en cómo mejoran un flujo de trabajo completo. En la siguiente captura de pantalla, puede ver que después de verificar si hay discrepancias en la contraseña de VTP, el Runbook pasa directamente a la siguiente acción para verificar los desajustes de la interfaz VTP. De esta manera, el Dynamic Map y Runbook trabajen juntos para crear un entorno completamente automatizado para un ingeniero en lugar de tener que usar conexiones de consola y hojas de cálculo desactualizadas.
Entonces el Runbook ejecuta automáticamente otra Qapp para verificar si hay discrepancias en la interfaz, nuevamente, en todos los dispositivos de una sola vez.
Mi compañero de trabajo y yo pudimos volver a colocar las VLAN en el conmutador central y reparar algunos de los daños, pero aún necesitábamos ir conmutador por conmutador para encontrar los rezagados y pegar las VLAN en ellos. Nos criticaron por nuestro descuido, pero finalmente logramos que todo funcionara, aunque tomó horas de configuración manual.
Debido a que experimenté mi propio incidente relacionado con VTP, ya no me río mucho cuando alguien hace una broma sobre VTP. Desafortunadamente, yo fui la causa, pero no fue porque no entendía VTP o no conocía los comandos. No hice mi diligencia debida. El poder de Dynamic Maps y Runbooks está en cómo mejoran un flujo de trabajo completo.
Descubrir una red es tedioso y lleva mucho tiempo, pero descuidarlo puede generar grandes problemas. El software de automatización que mitiga el error humano y abstrae el dolor no solo facilita nuestro trabajo, sino que también protege contra interrupciones como la temida bomba VTP.