In het begin van mijn carrière lachte ik mee met ingenieurs die grappen maakten over de gevreesde VTP-bom, maar ik dacht altijd dat de rampenverhalen meer overdreven dan werkelijkheid waren. VTP had toch niet zoveel netwerken vernietigd als ze suggereerden? Er is iets aan de eenvoud van het VLAN Trunking Protocol dat het gevaarlijk lijkt te maken in de handen van een onzorgvuldige ingenieur. En helaas ben ik die onzorgvuldige ingenieur geweest.
Het VLAN Trunking Protocol, of VTP, is een technologie die wordt gebruikt om het configureren van VLAN's sneller en eenvoudiger te maken. Dynamische VLAN-propagatie zorgt ervoor dat alle switches binnen het gehele VTP-domein consistente VLAN-configuraties hebben, en het betekent ook dat het toevoegen van nieuwe switches eenvoudiger is omdat ze VLAN-informatie dynamisch overnemen zodra ze zijn verbonden.
VTP bevindt zich normaal gesproken meer in de toegangslaag dan in andere delen van een netwerk. Vooral in grote organisaties worden toegangsschakelaars relatief vaak verplaatst, verwisseld, toegevoegd en opnieuw toegevoegd. Soms is het om een defecte kastschakelaar te vervangen, en soms om een aggregatieschakelaar te upgraden naar iets met meer poorten of grotere bandbreedte. In een groot netwerk met veel VLAN's maakt dit VTP tot een aantrekkelijke technologie om de implementatie van switches efficiënter te maken.
Als VTP echter niet zorgvuldig wordt behandeld, kan het enorme schade aanrichten.
Het gebruik van VTP vereist een grondige kennis van een netwerk, inclusief welke switches fungeren als VTP-servers, en op welke servermodus – of dit nu de transparante modus of de clientmodus is, enzovoort. Vooral bij het introduceren van nieuwe switches in een VTP-domein is het van cruciaal belang om dit soort netwerkbewustzijn te hebben om een VTP-incident te voorkomen.
Wat is VTP in netwerken?
VTP, betekenis VLAN Trunking-protocol, is een tweelaags protocol dat VLAN-configuraties automatisch beheert en doorgeeft in een switchnetwerk. Via VTP-opdrachten worden gegevens tussen switches verzonden om hun databases te synchroniseren, waardoor de consistentie van de VLAN-configuratie in het juiste VTP-domein behouden blijft. De netwerktechnicus controleert de VTP-advertenties van de server om te verifiëren dat updates van de virtuele lokale netwerkconfiguratie correct worden uitgezonden naar alle switches in het domein.
Omdat VTP-netwerken meerdere switches op hetzelfde VTP-domein vereenvoudigen en automatiseren, geven organisaties er doorgaans de voorkeur aan om dit te gebruiken. Hoewel individuele configuraties voor kleine netwerkbeheerders misschien eenvoudig genoeg zijn om handmatig uit te voeren, is het configureren van VTP voor grotere netwerken noodzakelijk om te voorkomen dat u van switch naar switch moet gaan om ze te configureren.
Stel je voor dat je honderden schakelaars tussen apparaten fysiek moet benaderen en handmatig moet configureren. Het VTP-protocol vereenvoudigt configuraties omdat het werkt vanaf een centrale server, databases synchroniseert en consistentie garandeert via een VTP-servermodus.
Voor organisaties waarvan de netwerken zich blijven uitbreiden, zorgt VTP voor de configuratie van nieuw toegevoegde switches. Het automatiseert het onboardingproces van de overstap, wat het handmatige werk van de beheerders zonder fouten vereenvoudigt. Wanneer u een nieuw VLAN aanmaakt, zorgt VTP er automatisch voor dat dit zich door het gehele VTP-beheerdomein verspreidt.
Het is belangrijk op te merken dat wanneer u een VLAN Trunking-protocol voor automatisering heeft, de belangrijkste VTP-propagatie en de verplichte databasesynchronisatiemogelijkheden indirect VTP-bombing mogelijk maken via vervormde VLAN-configuratie-updates. De VTP-netwerkproblemen treden doorgaans op wanneer de VTP-modus niet transparant is, bijvoorbeeld wanneer schakelaars niet zijn ingesteld op “VTP-modus transparant”, wat een aanzienlijk risico met zich meebrengt voor de netwerkstabiliteit en veiligheid. Lees verder om erachter te komen hoe u een VTP-bom kunt voorkomen.
De oude manier om een VTP-bom te voorkomen
In de tijd dat de inkt op mijn CCNA-certificering nog nat was, werkte ik aan een schakelvernieuwingsproject voor een groot schooldistrict. De klant gaf ons verschillende parameters, zoals standaardgateways, DNS-servers, SNMP-communitystrings, hostnamen en (je raadt het al) VTP-informatie, maar we hebben nooit hun netwerk ontdekt. We hadden niet de tijd om in hun infrastructuur te graven, dus in plaats van uit te zoeken welke switch de VTP-server was en welk revisienummer deze had, hebben we eenvoudigweg configuraties op switches gezet en onze omschakelingen gepland.
De implementatie vorderde snel omdat we avonden besteedden aan het verwisselen van kastschakelaars, en ik heb er erg van genoten. De school was stil en we hadden enorme hoeveelheden pizza en koffie om ons op de been te houden. Aan het einde van de gang hadden we een kleine stereo die ons favoriete klassieke rockstation afspeelde.
Terwijl we debatteerden wie de beste grungeband aller tijden was, kwam er een bewaker langs om ons te vertellen dat de busgarage offline was. Hij had geen toegang tot de beveiligingscamera's, e-mail of internet. Hij was niet erg bezorgd, dus wij ook niet.
Toen we echter alle AP's zagen knipperen en de wandtelefoons niet meer geregistreerd zagen, wisten we dat we een probleem hadden. We werkten aan slechts één kast die een deel van de aansluitingen voor AP's en telefoons had, maar het leek erop dat het hele gebouw plat lag. In feite was de busgarage een apart gebouw, dus we wisten dat er iets serieus was afgespoten.
Het configureren van VTP vereist slechts een handvol opdrachten, maar het handmatig één voor één onderzoeken van elke switch is foutgevoelig en tijdrovend.
Gelukkig duurde het uitzoeken van het probleem niet lang. We logden in op de kernschakelaar en snuffelden rond. Er was geen kamer vol CCIE's voor nodig om te zien dat er geen VLAN's op de switch zaten. Na verder onderzoek zagen we dat er geen op het hele netwerk waren, behalve natuurlijk VLAN 1.
We hadden de gevreesde VTP-bom meegemaakt.
Iemand heeft een switch aangesloten met een hoger VTP-revisienummer dan al het andere en de VLAN-configuratie van het hele netwerk gewist. We wisten niet welke schakelaar de boosdoener was of wie van ons het deed, maar ik ben er vrij zeker van dat ik het was, want mijn collega was gefocust op bekabeling.
VTP-bommen zijn misschien niet zo'n serieus probleem meer met de komst van VTP-versie 3, die voorzorgsmaatregelen tegen dit soort dingen introduceerde. De echte oplossing voor VTP-incidenten is echter een grondig begrip van het netwerk en de juiste configuratie van nieuwe apparaten.
Het configureren van VTP vereist slechts een paar commando's, en om goed te begrijpen hoe VTP op een netwerk werkt, zijn ook maar een handvol commando's vereist. Het probleem is dat de toegangslaag veel apparaten heeft, waardoor een grondig onderzoek vervelend is en voor een technicus gemakkelijk kan worden afgewezen.
- Sshow VTP-status geeft informatie weer zoals de VTPvtp-versie, het revisienummer, de juiste VTP-domeinnaam en de bedieningsmodus.
- Sshow VTP-apparaten vragen het VTP-domein op en geven ontdekte VTP-servers en -clients weer.
- De uitvoer van het commando show VTPvtp counters toont een technicus de VTP-activiteit op een bepaald apparaat.
In een netwerk van zelfs maar een bescheiden omvang zou het nodig zijn om van switch naar switch te gaan totdat een technicus er zeker van was dat hij of zij elk apparaat dekte. In het beste geval is dit handmatig doen foutgevoelig en vervelend. In het slechtste geval doen ingenieurs het helemaal niet.
De nieuwe manier om een VTP-bom te voorkomen
NetBrain neemt de pijn weg om dit te doen - of een andere handmatige configuratie op veel apparaten. Speciaal gebouwd om dit soort taken te automatiseren, hun Runbook technologie biedt een ingenieur een raamwerk om alle relevante VTP-informatie van een netwerk te verzamelen met slechts een paar klikken. In de onderstaande schermafbeelding ziet u een Dynamic Map van een ontdekt netwerk aan de rechterkant en a Runbook aan de linkerkant gebruikt om het verzamelen van VTP-informatie over de hele infrastructuur te automatiseren.
De Dynamic Map hoogtepunten VTP-rollen, VTP-server, VTP-client, VTP transparant; en VTP-domeinnaam, VTP-modus, actieve VTP-versie, configuratieversie en VTP-snoeimodus zijn ingesloten als gegevenstabellen op apparaatniveau.
Overweeg ook een van de meest voorkomende VTP-gerelateerde problemen: een niet-overeenkomend wachtwoord. Dit is ongelooflijk vervelend om één apparaat tegelijk te controleren en is uiterst vatbaar voor menselijke fouten. Omdat een Runbook werkt van a Dynamic Map van ontdekte apparaten en bevat alle commando's die een ingenieur zou uitvoeren, NetBrain is in staat om een volledige workflow voor het oplossen van problemen te automatiseren - taken in seconden in plaats van uren te voltooien.
Zie in de onderstaande schermafbeelding dat de Runbook voert specifiek acties uit, genaamd Qapps, om veelvoorkomende VTP-configuratieproblemen op te sporen, zoals niet-overeenkomende wachtwoorden.
Runbooks alle stappen uitvoeren die u zou doen - alleen automatisch in plaats van handmatig, opdracht voor opdracht, apparaat voor apparaat. Hier controleert het op niet-overeenkomende wachtwoorden en markeert het de resultaten direct op het Dynamic Map.
Maar de kracht van Dynamic Maps en Runbooks zit in hoe ze een hele workflow verbeteren. In de volgende schermafbeelding kunt u zien dat na het controleren op niet-overeenkomende VTP-wachtwoorden, de Runbook gaat direct naar de volgende actie om VTP-interface-mismatches te controleren. Op deze manier wordt de Dynamic Map en Runbook werk samen om een volledig geautomatiseerde omgeving voor een ingenieur te creëren in plaats van consoleverbindingen en verouderde spreadsheets te gebruiken.
Dan de Runbook voert automatisch een andere Qapp uit om te controleren op niet-overeenkomende interfaces - nogmaals, op alle apparaten in één klap.
Mijn collega en ik waren in staat om de VLAN's weer op de kernschakelaar te krijgen en een deel van de schade te herstellen, maar we moesten nog steeds schakelaar voor schakelaar gaan om de achterblijvers te vinden en VLAN's erin te plakken. We kregen een oor voor onze onzorgvuldigheid, maar uiteindelijk kregen we alles aan de gang, hoewel het uren handmatige configuratie kostte.
Omdat ik mijn eigen VTP-gerelateerde incident heb meegemaakt, lach ik niet veel meer als iemand een VTP-grap maakt. Helaas was ik er de oorzaak van, maar dat kwam niet doordat ik VTP niet verstond of de commando's niet kende. Ik heb mijn due diligence-onderzoek niet gedaan. De kracht van Dynamic Maps en Runbooks zit in hoe ze een hele workflow verbeteren.
Het ontdekken van een netwerk is vervelend en tijdrovend, maar het negeren ervan kan tot grote problemen leiden. Automatiseringssoftware die menselijke fouten vermindert en de pijn wegneemt, maakt niet alleen ons werk gemakkelijker, maar beschermt ook tegen storingen zoals de gevreesde VTP-bom.