Automatisering in minuten Webinarserie >
Teruggaan

Automatisering gebruiken om de VTP-bom te vermijden

  • Home
  • Chevron vooruit
  • Blog
  • Chevron vooruit
  • Automatisering gebruiken Vermijd Vtp Bomb

by Philip Gervasi 6-2018-XNUMX

In het begin van mijn carrière lachte ik mee met ingenieurs die grappen maakten over de gevreesde VTP-bom, maar ik dacht altijd dat de rampenverhalen meer overdreven dan werkelijkheid waren. VTP had toch niet zoveel netwerken vernietigd als ze suggereerden? Er is iets aan de eenvoud van het VLAN Trunking Protocol dat het gevaarlijk lijkt te maken in de handen van een onzorgvuldige ingenieur. En helaas ben ik die onzorgvuldige ingenieur geweest.

Het VLAN Trunking Protocol, of VTP, is een technologie die wordt gebruikt om het configureren van VLAN's sneller en eenvoudiger te maken. Dynamische VLAN-propagatie zorgt ervoor dat alle switches binnen het VTP-domein consistente VLAN-configuraties hebben, en het betekent ook dat het toevoegen van nieuwe switches eenvoudiger is omdat ze dynamisch VLAN-informatie overnemen zodra ze zijn verbonden.

Als er niet zorgvuldig mee wordt omgegaan, kan VTP enorme schade aanrichten.

 

VTP bevindt zich normaal gesproken meer in de toegangslaag dan in andere delen van een netwerk. Vooral in grote organisaties worden toegangsschakelaars relatief vaak verplaatst, verwisseld, toegevoegd en opnieuw toegevoegd. Soms is het om een ​​defecte kastschakelaar te vervangen, en soms om een ​​aggregatieschakelaar te upgraden naar iets met meer poorten of grotere bandbreedte. In een groot netwerk met veel VLAN's maakt dit VTP tot een aantrekkelijke technologie om de implementatie van switches efficiënter te maken.

Als VTP echter niet zorgvuldig wordt behandeld, kan het enorme schade aanrichten.

Het gebruik van VTP vereist een grondige kennis van een netwerk, inclusief welke switches fungeren als VTP-servers, welke in transparante modus staan, welke in clientmodus staan, enzovoort. Vooral bij het introduceren van nieuwe switches in een VTP-domein is het essentieel om dit soort netwerkbewustzijn te hebben om een ​​VTP-incident te voorkomen.

De oude manier om een ​​VTP-bom te voorkomen

In de tijd dat de inkt op mijn CCNA-certificering nog nat was, werkte ik aan een switch refresh-project voor een groot schooldistrict. De klant gaf ons verschillende parameters, zoals standaardgateways, DNS-servers, SNMP-communitystrings, hostnamen en - je raadt het al - VTP-informatie, maar we hebben hun netwerk nooit ontdekt. We hadden niet de uren om in hun infrastructuur te graven, dus in plaats van uit te zoeken welke switch de VTP-server was en welk revisienummer deze had, plakten we gewoon configuraties op switches en planden onze cutovers.

De implementatie vorderde snel omdat we avonden besteedden aan het verwisselen van kastschakelaars, en ik heb er erg van genoten. De school was stil en we hadden enorme hoeveelheden pizza en koffie om ons op de been te houden. Aan het einde van de gang hadden we een kleine stereo die ons favoriete klassieke rockstation afspeelde.

Terwijl we debatteerden wie de beste grungeband aller tijden was, kwam er een bewaker langs om ons te vertellen dat de busgarage offline was. Hij had geen toegang tot de beveiligingscamera's, e-mail of internet. Hij was niet erg bezorgd, dus wij ook niet.

Toen we echter alle AP's zagen knipperen en de wandtelefoons niet meer geregistreerd zagen, wisten we dat we een probleem hadden. We werkten aan slechts één kast die een deel van de aansluitingen voor AP's en telefoons had, maar het leek erop dat het hele gebouw plat lag. In feite was de busgarage een apart gebouw, dus we wisten dat er iets serieus was afgespoten.

toon vtp status cliHet configureren van VTP vereist slechts een handvol opdrachten, maar het handmatig één voor één onderzoeken van elke switch is foutgevoelig en tijdrovend.

Gelukkig duurde het uitzoeken van het probleem niet lang. We logden in op de kernschakelaar en snuffelden rond. Er was geen kamer vol CCIE's voor nodig om te zien dat er geen VLAN's op de switch zaten. Na verder onderzoek zagen we dat er geen op het hele netwerk waren, behalve natuurlijk VLAN 1.

We hadden de gevreesde VTP-bom meegemaakt.

Iemand heeft een switch aangesloten met een hoger VTP-revisienummer dan al het andere en de VLAN-configuratie van het hele netwerk gewist. We wisten niet welke schakelaar de boosdoener was of wie van ons het deed, maar ik ben er vrij zeker van dat ik het was, want mijn collega was gefocust op bekabeling.

VTP-bommen zijn misschien niet zo'n serieus probleem meer met de komst van VTP-versie 3, die voorzorgsmaatregelen tegen dit soort dingen introduceerde. De echte oplossing voor VTP-incidenten is echter een grondig begrip van het netwerk en de juiste configuratie van nieuwe apparaten.

Het configureren van VTP vereist slechts een paar commando's, en om goed te begrijpen hoe VTP op een netwerk werkt, zijn ook maar een handvol commando's vereist. Het probleem is dat de toegangslaag veel apparaten heeft, waardoor een grondig onderzoek vervelend is en voor een technicus gemakkelijk kan worden afgewezen.

  •  toon vtp-status geeft informatie weer zoals vtp-versie, revisienummer, VTP-domeinnaam en de bedrijfsmodus.
  • toon vtp-apparaten bevraagt ​​het VTP-domein en geeft gedetecteerde VTP-servers en -clients weer.
  • De uitvoer van de toon vtp-tellers commando zal een technicus de VTP-activiteit op een bepaald apparaat laten zien.

In een netwerk van zelfs maar een bescheiden omvang zou het nodig zijn om van switch naar switch te gaan totdat een technicus er zeker van was dat hij of zij elk apparaat dekte. In het beste geval is dit handmatig doen foutgevoelig en vervelend. In het slechtste geval doen ingenieurs het helemaal niet.

De nieuwe manier om een ​​VTP-bom te voorkomen

NetBrain neemt de pijn weg om dit te doen - of een andere handmatige configuratie op veel apparaten. Speciaal gebouwd om dit soort taken te automatiseren, hun Runbook technologie biedt een ingenieur een raamwerk om alle relevante VTP-informatie van een netwerk te verzamelen met slechts een paar klikken. In de onderstaande schermafbeelding ziet u een Dynamic Map van een ontdekt netwerk aan de rechterkant en a Runbook aan de linkerkant gebruikt om het verzamelen van VTP-informatie over de hele infrastructuur te automatiseren.

controleer de vtp-statusDe Dynamic Map hoogtepunten VTP-rollen, VTP-server, VTP-client, VTP transparant; en VTP-domeinnaam, VTP-modus, actieve VTP-versie, configuratieversie en VTP-snoeimodus zijn ingesloten als gegevenstabellen op apparaatniveau.

Overweeg ook een van de meest voorkomende VTP-gerelateerde problemen: een niet-overeenkomend wachtwoord. Dit is ongelooflijk vervelend om één apparaat tegelijk te controleren en is uiterst vatbaar voor menselijke fouten. Omdat een Runbook werkt van a Dynamic Map van ontdekte apparaten en bevat alle commando's die een ingenieur zou uitvoeren, NetBrain is in staat om een ​​volledige workflow voor het oplossen van problemen te automatiseren - taken in seconden in plaats van uren te voltooien.

Zie in de onderstaande schermafbeelding dat de Runbook voert specifiek acties uit, genaamd Qapps, om veelvoorkomende VTP-configuratieproblemen op te sporen, zoals niet-overeenkomende wachtwoorden.

vtp wachtwoord komt niet overeenRunbooks alle stappen uitvoeren die u zou doen - alleen automatisch in plaats van handmatig, opdracht voor opdracht, apparaat voor apparaat. Hier controleert het op niet-overeenkomende wachtwoorden en markeert het de resultaten direct op het Dynamic Map.

Maar de kracht van Dynamic Maps en Runbooks zit in hoe ze een hele workflow verbeteren. In de volgende schermafbeelding kunt u zien dat na het controleren op niet-overeenkomende VTP-wachtwoorden, de Runbook gaat direct naar de volgende actie om VTP-interface-mismatches te controleren. Op deze manier wordt de Dynamic Map en Runbook werk samen om een ​​volledig geautomatiseerde omgeving voor een ingenieur te creëren in plaats van consoleverbindingen en verouderde spreadsheets te gebruiken.

vtp interfcae komt niet overeenDan de Runbook voert automatisch een andere Qapp uit om te controleren op niet-overeenkomende interfaces - nogmaals, op alle apparaten in één klap.

Mijn collega en ik waren in staat om de VLAN's weer op de kernschakelaar te krijgen en een deel van de schade te herstellen, maar we moesten nog steeds schakelaar voor schakelaar gaan om de achterblijvers te vinden en VLAN's erin te plakken. We kregen een oor voor onze onzorgvuldigheid, maar uiteindelijk kregen we alles aan de gang, hoewel het uren handmatige configuratie kostte.

Omdat ik mijn eigen VTP-gerelateerde incident heb meegemaakt, lach ik niet veel meer als iemand een VTP-grap maakt. Helaas was ik er de oorzaak van, maar niet omdat ik VTP niet verstond of de commando's niet kende. Ik heb mijn due diligence niet gedaan.

De kracht van Dynamic Maps en Runbooks zit in hoe ze een hele workflow verbeteren.

 

Zorg ervoor dat u profiteert NetBrainis gratis Onmiddellijke proef om zelf te zien hoe krachtig Dynamic Maps en Runbooks zijn in het automatiseren van een bedrijfsnetwerk. Tientallen kant-en-klare labs gericht op specifieke technologieën, waaronder VTP, bieden een sandbox om mee te experimenteren NetBrainfuncties.

Het ontdekken van een netwerk is vervelend en tijdrovend, maar het negeren ervan kan tot grote problemen leiden. Automatiseringssoftware die menselijke fouten vermindert en de pijn wegneemt, maakt niet alleen ons werk gemakkelijker, maar beschermt ook tegen storingen zoals de gevreesde VTP-bom.

Verwant

Geautomatiseerde diagnose

De top 5 netwerkondersteuningstickets om te automatiseren

Wat frustreert u het meest aan netwerkondersteuning? Niets voelt beter dan detective spelen over een obscuur netwerkprobleem en de IT-held zijn die het oplost. Maar te veel...
Voorkom storingen

Automatisering in enkele minuten: top-10 beoordelingen om storingen te voorkomen

Downtime is duur. Meer dan de helft (54%) van de respondenten van de datacenterenquête van het Uptime Institute uit 2023 zegt dat hun meest recente significante, ernstige of ernstige storing meer dan...
Geautomatiseerde diagnose

Best practices voor het automatiseren van de workflow voor probleemoplossing in netwerkomgevingen met meerdere leveranciers

Laten we eerlijk zijn: het handmatig oplossen van problemen met hybride netwerken is pijnlijk en tijdrovend. Elk probleem wordt aangepakt alsof het probleem zich nog nooit eerder heeft voorgedaan en diverse netwerkengineers passen verschillende...