Au début de ma carrière, j'ai ri avec des ingénieurs faisant des blagues sur la redoutable bombe VTP, mais j'ai toujours pensé que les histoires de catastrophe étaient plus une exagération que la réalité. VTP n'avait sûrement pas détruit les réseaux autant qu'ils le suggéraient ? Il y a quelque chose dans la simplicité du protocole VLAN Trunking qui semble le rendre dangereux entre les mains d'un ingénieur négligent. Et, malheureusement, j'ai été cet ingénieur négligent.
Le VLAN Trunking Protocol, ou VTP, est une technologie utilisée pour rendre la configuration des VLAN plus rapide et plus facile. La propagation dynamique des VLAN garantit que tous les commutateurs de l'ensemble du domaine VTP ont des configurations VLAN cohérentes, et cela signifie également que l'ajout de nouveaux commutateurs est plus simple car ils héritent dynamiquement des informations VLAN une fois connectés.
VTP se trouve normalement dans la couche d'accès plus que dans d'autres parties d'un réseau. Surtout dans les grandes organisations, les commutateurs d'accès sont déplacés, permutés, ajoutés et rajoutés relativement souvent. Parfois, il s'agit de remplacer un commutateur de placard défaillant, et parfois de mettre à niveau un commutateur d'agrégation vers quelque chose avec plus de ports ou une plus grande bande passante. Dans un grand réseau avec de nombreux VLAN, cela fait de VTP une technologie incontournable pour rendre le déploiement des commutateurs plus efficace.
Cependant, lorsqu'il n'est pas manipulé avec soin, le VTP peut causer d'énormes dégâts.
L'utilisation de VTP nécessite une solide connaissance d'un réseau, notamment quels commutateurs agissent comme des serveurs VTP et sur quel mode serveur (mode transparent ou mode client, etc.). En particulier lors de l'introduction de nouveaux commutateurs dans un domaine VTP, il est essentiel d'avoir ce type de connaissance du réseau afin d'éviter un incident VTP.
Qu’est-ce que VTP dans les réseaux ?
VTP, c'est-à-dire Protocole de liaison VLAN, est un protocole à deux couches qui gère et propage automatiquement les configurations VLAN sur l'ensemble d'un réseau de commutateurs. Grâce aux commandes VTP, les données sont envoyées entre les commutateurs pour synchroniser leurs bases de données, ce qui maintient la cohérence de la configuration VLAN dans le domaine VTP correct. Le technicien réseau surveille les publicités VTP du serveur pour vérifier que les mises à jour de configuration du réseau local virtuel sont correctement diffusées sur tous les commutateurs du domaine.
Étant donné que la mise en réseau VTP simplifie et automatise plusieurs commutateurs sur le même domaine VTP, les organisations préfèrent généralement l'utiliser. Même si les configurations individuelles peuvent être suffisamment simples pour que les administrateurs de petits réseaux puissent les effectuer manuellement, la configuration de VTP pour les réseaux plus grands est nécessaire pour éviter d'avoir à passer d'un commutateur à l'autre pour les configurer.
Imaginez devoir accéder physiquement et configurer manuellement des centaines de commutateurs entre appareils. Le protocole VTP simplifie les configurations car il fonctionne à partir d'un serveur central, synchronisant les bases de données et assurant la cohérence via un mode serveur VTP.
Pour les organisations dont les réseaux ne cessent de s'étendre, VTP assure la configuration des commutateurs nouvellement ajoutés. Il automatise le processus d'intégration du commutateur, ce qui facilite le travail manuel des administrateurs sans erreurs. Lorsque vous créez un nouveau VLAN, VTP garantit automatiquement qu'il se propage dans l'ensemble du domaine de gestion VTP.
Il est important de noter que lorsque vous disposez d'un protocole VLAN Trunking pour l'automatisation, ses capacités de propagation VTP de base et de synchronisation de base de données obligatoire permettent indirectement le bombardement VTP via des mises à jour de configuration VLAN déformées. Les problèmes de réseau VTP se produisent généralement lorsque le mode VTP n'est pas transparent, par exemple lorsque les commutateurs ne sont pas définis sur « Mode VTP transparent », ce qui pose un risque important pour la stabilité et la sécurité du réseau. Lisez la suite pour savoir comment empêcher une bombe VTP.
L'ancienne façon d'empêcher une bombe VTP
À l’époque où l’encre de ma certification CCNA était encore humide, j’ai travaillé sur un projet de rafraîchissement des commutateurs pour un grand district scolaire. Le client nous a fourni plusieurs paramètres tels que les passerelles par défaut, les serveurs DNS, les chaînes de communauté SNMP, les noms d'hôte et, vous l'aurez deviné, les informations VTP, mais nous n'avons jamais découvert leur réseau. Nous n'avions pas le temps de fouiller dans leur infrastructure, donc au lieu de découvrir quel commutateur était le serveur VTP et quel numéro de révision il avait, nous avons simplement appliqué les configurations sur les commutateurs et planifié nos transitions.
Le déploiement a progressé rapidement alors que nous passions des soirées à échanger les interrupteurs des placards, et cela m'a beaucoup plu. L'école était calme et nous avions d'énormes quantités de pizza et de café pour nous permettre de continuer. Au bout du couloir, nous avions une petite chaîne stéréo diffusant notre station de rock classique préférée.
Pendant que nous débattions pour savoir qui était le meilleur groupe de grunge de tous les temps, un agent de sécurité s'est arrêté pour nous dire que le garage de bus était hors ligne. Il n'avait pas accès aux caméras de sécurité, aux e-mails ou à Internet. Il n'était pas très inquiet, donc nous non plus.
Cependant, lorsque nous avons vu tous les points d'accès clignoter et les téléphones muraux non enregistrés, nous avons su que nous avions un problème. Nous travaillions sur un seul placard qui avait sa part de connexions pour les points d'accès et les téléphones, mais il semblait que tout le bâtiment était en panne. En fait, le garage des bus était un bâtiment séparé, nous savions donc que quelque chose était sérieusement arrosé.
La configuration de VTP ne nécessite qu'une poignée de commandes, mais l'examen manuel de chaque commutateur, un par un, est source d'erreurs et prend du temps.
Heureusement, il n'a pas fallu longtemps pour résoudre le problème. Nous nous sommes connectés au commutateur principal et avons fouiné. Il n'a pas fallu une salle pleine de CCIE pour voir qu'il n'y avait pas de VLAN sur le commutateur. Après une enquête plus approfondie, nous avons constaté qu'il n'y en avait pas sur l'ensemble du réseau, à part le VLAN 1, bien sûr.
Nous avions vécu la redoutable bombe VTP.
Quelqu'un a branché un commutateur avec un numéro de révision VTP plus élevé que tout le reste et a effacé la configuration VLAN de tout le réseau. Nous ne savions pas quel commutateur était le coupable ou lequel d'entre nous l'avait fait, mais je suis presque sûr que c'était moi parce que mon collègue était concentré sur le câblage.
Les bombes VTP ne sont peut-être plus un problème aussi grave avec l'avènement de la version 3 de VTP, qui a introduit des garanties contre ce genre de choses. Cependant, la véritable solution aux incidents VTP est une compréhension approfondie du réseau et une configuration appropriée des nouveaux appareils.
La configuration de VTP ne nécessite que quelques commandes, et une bonne compréhension du fonctionnement de VTP sur un réseau ne nécessite également qu'une poignée de commandes. Le problème est que la couche d'accès comporte de nombreux périphériques, ce qui rend une enquête approfondie fastidieuse et facile à écarter pour un ingénieur.
- L'état Sshow VTP affiche des informations telles que la version VTPvtp, le numéro de révision, le nom de domaine VTP correct et le mode de fonctionnement.
- Les appareils Sshow VTP interrogent le domaine VTP et affichent les serveurs et clients VTP découverts.
- La sortie de la commande show VTPvtp counters montrera à un ingénieur l'activité VTP sur un périphérique particulier.
Dans un réseau de taille même modeste, cela nécessiterait de passer d'un commutateur à l'autre jusqu'à ce qu'un ingénieur soit sûr qu'il couvre tous les appareils. Au mieux, le faire manuellement est source d'erreurs et fastidieux. Au pire, les ingénieurs évitent de le faire complètement.
La nouvelle façon d'empêcher une bombe VTP
NetBrain prend la peine de faire cela - ou toute autre configuration manuelle sur de nombreux appareils. Conçu spécifiquement pour automatiser ce genre de tâches, leur Runbook sans souci fournit à un ingénieur un cadre pour rassembler toutes les informations VTP pertinentes d'un réseau en quelques clics seulement. Dans la capture d'écran ci-dessous, vous pouvez voir un Dynamic Map d'un réseau découvert à droite et d'un Runbook à gauche utilisé pour automatiser la collecte d'informations VTP sur l'ensemble de l'infrastructure.
Votre Dynamic Map met en évidence les rôles VTP, le serveur VTP, le client VTP, VTP transparent ; et le nom de domaine VTP, le mode VTP, la version d'exécution VTP, la version de configuration et le mode d'élagage VTP sont intégrés en tant que tables de données au niveau du périphérique.
Considérez également l'un des problèmes les plus courants liés au VTP : une incompatibilité de mot de passe. Il est incroyablement fastidieux de vérifier un appareil à la fois et est extrêmement sujet aux erreurs humaines. Parce qu'un Runbook fonctionne à partir d'un Dynamic Map des appareils découverts et contient toutes les commandes qu'un ingénieur exécuterait, NetBrain est capable d'automatiser l'intégralité d'un flux de travail de dépannage, en effectuant des tâches en quelques secondes plutôt qu'en heures.
Dans la capture d'écran ci-dessous, notez que le Runbook exécute spécifiquement des actions, appelées Qapps, pour trouver les problèmes de configuration VTP courants tels que les incompatibilités de mot de passe.
Runbooks effectuez toutes les étapes que vous feriez - uniquement automatiquement au lieu de manuellement commande par commande, appareil par appareil. Ici, il vérifie les incompatibilités de mot de passe et met en évidence les résultats directement sur le Dynamic Map.
Mais le pouvoir de Dynamic Maps et Runbooks est dans la façon dont ils améliorent l'ensemble d'un flux de travail. Dans la capture d'écran suivante, vous pouvez voir qu'après avoir vérifié les incompatibilités de mot de passe VTP, le Runbook passe directement à l'action suivante pour vérifier les incompatibilités d'interface VTP. De cette façon, le Dynamic Map et Runbook travaillez ensemble pour créer un environnement entièrement automatisé pour un ingénieur au lieu d'avoir à utiliser des connexions de console et des feuilles de calcul obsolètes.
Puis le Runbook exécute automatiquement un autre Qapp pour vérifier les incompatibilités d'interface - encore une fois, sur tous les appareils d'un seul coup.
Mon collègue et moi avons réussi à remettre les VLAN sur le commutateur central et à réparer certains des dégâts, mais nous devions toujours aller commutateur par commutateur pour trouver les retardataires et y coller des VLAN. Nous avons eu des oreilles pour notre insouciance, mais nous avons finalement tout mis en marche, même si cela a pris des heures de configuration manuelle.
Parce que j'ai vécu mon propre incident lié au VTP, je ne ris plus beaucoup quand quelqu'un fait une blague sur le VTP. Malheureusement, j'en étais la cause, mais ce n'était pas parce que je ne comprenais pas VTP ou que je ne connaissais pas les commandes. Je n'ai pas fait preuve de diligence raisonnable. Le pouvoir de Dynamic Maps et Runbooks est dans la façon dont ils améliorent l'ensemble d'un flux de travail.
Découvrir un réseau est fastidieux et prend du temps, mais le négliger peut entraîner d'énormes problèmes. Un logiciel d'automatisation qui atténue les erreurs humaines et élimine la douleur facilite non seulement notre travail, mais protège également contre les pannes telles que la redoutable bombe VTP.