مقاله آموزشی پروتکل VTP ورژن 3

fashion img

Vlan Trunking Protocol Version 3

سلام خدمت دوستان نتکواکسپرت، همراهتون هستیم با مقاله ی تخصصی VTP ورژن 3. 
اگر هیچ آشنایی با پروتکل VTP ندارید بهتون پیشنهاد میکنم ابتدا از طریق این لینک مقاله ی مربوط به پروتکل VTP را مطالعه کنید و سپس بیاید سراغ این مقاله. در این مقاله نگاهی تخصصی و کامل به پروتکل VTP Version 3 خواهیم داشت.
 
ورژن های قبل یعنی ورژن 1 و 2 مشکلاتی را به همراه داشتند که باعث شد شرکت سیسکو ورژن 3 این پروتکل را ارائه دهد.
از مشکلاتی که در ورژن های قبل وجود داشت عبارتند از : 
 
• VTP ورژن 1 و 2 از Extended VLAN ها پشتیبانی نمی کنند
• در ورژن 1 و 2، Private VLAN پشتیبانی نمی شود
• در ورژن 1و 2 اطلاعات مربوط به پروتکل MST ارسال نمی شود
• هر سوییچ می تواند خود را به عنوان Server معرفی کند و دیتابیس VLAN های خود را به دیگر سوییچ ها تبلیغ کند
• از Authentication بصورت Hidden پشتبانی نمی کنند
 
تمامی این مشکلات باعث شدند تا ورژن جدید از این پروتکل یعنی ورژن 3 عرضه شود. مزایی که ورژن 3 ارائه می دهد عبارتند از : 
 
• در یک دامنه ی VTP فقط یک VTP Server می تواند فعالیت کند در نتیجه تنها یک سوییچ می تواند دیتابیس خود را به دیگر سوییچ ها ارسال کند.
• به دلیل وجود تنها یک سوییچ Server ادمین شبکه کنترل بهتری بر روی پروتکل VTP و ساختار لایه 2 شبکه ای خواهد داشت.
• ورژن 3 می تواند اطلاعات مربوط به پروتکل MST را در بین سوییچ ها تبلیغ کند.
• اطلاعات مربوط به Private VLAN ها بصورت کامل در ورژن 3 می توانند تبلیغ شوند.
• علاوه بر Standard VLAN ها Extended VLAN ها نیز در ورژن 3 پشتیبانی می شوند در نتیجه در VTP Version 3 از 1 تا 4095 ویلن می توانیم داشته باشیم.
 
نکته ی قابل توجهی که وجود دارد این است که خیلی از مفاهیمی که در ورژن 1 و 2 وجود داشتند در ورژن 3 نیز وجود دارند در نتیجه شباهت های زیادی بین ورژن 1 و 2 با ورژن 3 می باشد. 
همچنان VTP Domain در ورژن 3 نیز وجود دارد و مفاهیم آن همانند ورژن 1 و 2 می باشد، در نتیجه تمامی سوییچ های داخل شبکه برای اینکه بتوانند اطلاعات VLAN ها توسط VTP بین خود تبلیغ کنند باید عضو یک VTP Domain یکسان باشند. علاوه بر این هر سوییچ تنها می تواند عضو یک VTP Domain شود.
مفهوم Configuration Revision Number نیز همچنان در VTP Version 3 وجود دارد و سوییچ ها از این مقدار استفاده می کنند تا متوجه شوند که آیا پیام VTP دریافتی اطلاعات جدیدتری را ارائه می دهد یا خیر.
 
VTP Modes
 
همانند ورژن 1 و 2، ورژن 3 نیز از مفهومی به عنوان Mode که مشخص کننده ی وظیفه ی هر سوییچ می باشد استفاده می کند. سه Mode اصلی بر روی IOS موجود می باشد. Transparent، Client و Server سه Mode اصلی VTP version 3 می باشند. Mode چهارم که تحت عنوان Off وجود دارد جزء Mode های اصلی نمی باشد و تنها زمانی که کلا قصد استفاده از VTP را نداشته باشیم سوییچ را در این Mode قرار می دهیم.
 
• Transparent –گاهی ممکن است در داخل شبکه تمامی سوییچ ها ظرفیت ساخت تعداد زیاد VLAN را نداشته باشند و یا حتی ممکن است به جز چند VLAN به هیچ VLAN دیگری نیازی نباشد، در این صورت می توانید از مود Transparent استفاده کنید. سوییچ در این Mode از حافظه ی دائمی خود مانند NVRAM برای ذخیره ی اطلاعات مربوط به VLAN ها استفاده می کند.  در مود Transparent می توانید VLAN ایجاد کنید، حذف کنید و یا حتی تغییر دهید، اما تمامی پیکربندی ها بصورت Local می باشند و بر روی هیچ سوییچ دیگری تاثیری نمی گذارند، از سویی سوییچی که در مود Transparent قرار دارد اگر پیام VTP دریافت کند به آن گوش نمی دهد. اما نکته ی مهم این می باشد که درست است سوییچ به پیام های VTP گوش نمی دهد اما اگر پیام VTP دریافت کند آن را بر روی اینترفیس های ترانک خود ارسال میکند به امید اینکه شاید یک سوییچ دیگری که در مود Client قرار دارد در آن طرف لینک ترانک وجود داشته باشد. همچنین مقدار Revision Number همیشه در این Mode برابر با 0 می باشد. 
 
• Client – در مورد Client نمی توان هیچگونه پیکربندی VLAN بر روی سوییچ انجام داد، درنتیجه نمی توان هیچ VLAN ای ایجاد کرد، نمیتوان هیچ تغییراتی بر روی VLAN ها انجام داد و یا حتی نمیتوان هیچ VLAN ای را حذف کرد. سوییچی که در مود Client قرار دارد از حافظه ی موقتی همانند DRAM برای ذخیره ی اطلاعات دریافتی از سمت VTP Server استفاده می کند و تا زمانی که سوییچ روشن می باشد این اطلاعات در دسترس است به محض خاموش شدن یا Reload شدن سوییچ این اطلاعات از بین می رود و دوباره باید از سمت Server اطلاعات مربوط به VLAN ها را دریافت کند. همچنین سوییچی که در مود Client قرار دارد به پیام های VTP که بر روی اینترفیس های ترانک خود دریافت می کند گوش میدهد و به آنها عمل می کند. همچنین پیام هایی را که دریافت می کند بر روی اینترفیس های ترانک خود نیز ارسال می کند.
 
• Off – در مود Off سوییچ رفتاری مشابه با مود Transparent را انجام میدهد با این تفاوت که اگر پیام VTP دریافت کند روی لینک های ترانک خود ارسال نمی کند و بصورت کامل VTP غیرفعال می باشد.
 
• Server – پروتکل VTP Version 3 مفهوم Server را کمی گسترش داده است و در بصورت ساده این Mode را به دو Sub-mode تبدیل کرده است. Primary Server و Secondary Server. بصورت پیش فرض تمامی سوییچ ها در مود Secondary Server قرار دارند. 
 
نکته ی قابل اهمیت این می باشد که در یک VTP Domain تنها یک Primary Server می تواند وجود داشته باشد.
 
سوییچ های Client و Secondary Server اطلاعات پیکربندی را از سمت Primary Server دریافت می کنند. Secondary Server اطلاعات دریافتی را در حافظه ای دائمی همانند NVRAM ذخیره و این اطلاعات به دیگر سوییچ هایی که در همان VTP Domain قرار دارند ارسال می کند و آنها را بروز نگه میدارد. در VTP ورژن 1 و 2 بصورت دستی و از طریق Command Line Interface (CLI) و یا پروتکل Simple Network Management Protocol (SNMP) می توانیم پیکربندی های مربوط به VLAN را بر روی سوییچ Server کانفیگ کنیم. در VTP version 3 نمی توانیم بصورت دستی یک Secondary server را پیکربندی کنیم اما همانند مود Client می تواند اطلاعات مربوط به VLAN ها را بصورت پیام Update دریافت کند. تنها Primary Server می تواند پیکربندی های مربوط به VLAN ها را انجام دهد. این پیکربندی ها می تواند بصورت دستی توسط CLI و یا پروتکل SNMP انجام شوند. 
زمانی که یک سوییچ به عنوان Primary Server در نظر گرفته می شود، بررسی می کند تا مطمئن شود که هیچ سوییچ دیگری به عنوان Primary Server در VTP Domain فعالیت نداشته باشد. مثال زیر نحوه ی پیکربندی یک سوییچ از مود Secondary Server به Primary Server را نشان می دهد.
 
VTP Mode Configuration
SW# vtp primary vlan
This system is becoming primary server for feature vlan 
No conflicting VTP3 devices found.
Do you want to continue? [confirm]
*Jun 5 10:26:32.043: %SW_VLAN-SP-4-VTP_PRIMARY_SERVER_CHG: 00a2:aaa3:bc12:0c00 has become the primary server for the VLAN VTP feature.
 
 
 

توجه – اگر بخواهیم پیکربندی های مربوط به پروتکل MST نیز در VTP3 تبلیغ شوند و بتوانند با VTP3 بصورت هماهنگ کار کنند باید یک سوییچ را به عنوان Primary Server برای پروتکل MST در نظر بگیریم که برای اینکار می توانیم از دستور vtp primary mst در Privilege Mode استفاده کنیم. 

 

امنیت در پروتکل VTP

در ورژن های قبل و همچنین ورژن 3 پروتکل VTP برای جلوگیری از تغییر پیام ها در مسیر از یک سوییچ به سوییچ دیگر از الگوریتم هش MD5 استفاده می شود.علاوه بر این می توان یک پسورد را بر روی تمامی سوییچ های یک VTP Domain پیکربندی کرد تا سوییچ ها با استفاده از این پسورد بتوانند باهم در ارتباط باشند. این ویژگی از قرار گرفتن سوییچ های غیر مجاز در دامنه ی VTP جلوگیری می کند. و تا زمانی که بر روی سوییچ جدید پسورد VTP Domain پیکربندی نشود نمی تواند پیام های VTP را دریافت و یا پیام VTP ارسال کند.این پسورد بصورت Clear-text ذخیره می شود در نتیجه می توانید با استفاده از دستور show vtp password و یا مشاهده ی فایل vlan.dat می توانید این پسورد را مشاهده کنید.
با استفاده از دستور زیر می توانید یک پسورد بصورت Clear-text برای VTP پیکربندی کنید، در این مثال پسورد Netsecret را برای VTP پیکربندی کرده ایم.

VTP Password Configuration
SW (config)# vtp password Netsecret
Setting device VTP password to Netsecret

 

 

با استفاده از روش های زیر نیز می توانید پسورد پیکربندی شده بر روی سوییچ را مشاهده کنید:

VTP Password Verification
SW# show vtp password
VTP Password: Netsecret

 

با مشاهده ی محتوای فایل vlan.dat نیز می توانید پسورد را که بصورت Clear-text ذخیره شده مشاهده کنید:

00000030: 00000000 00000001 30383037 30383133 .... .... 0807 0813
00000040: 32343439 6280F325 0C2EB606 53154B3D 2449 b.s% ..6. S.K=
00000050: BFE30CA5 07416E64 72656173 00C795CE ?c.% . Net secret .G.N
00000060: B21E305F 10000000 00000000 00000000 2.0_ .... .... ....
00000070: 00000000 00000000 00000000 00000000 .... .... .... ....

 

 

در ورژن 3 علاوه بر اینکه پسورد بصورت Clear-text وجود دارد دو روش دیگر تحت عنوان Hidden و Secret نیز اضافه شده است. پسورد با این دو روش بصورت واضح و خوانا ذخیره نمی شود. در نتیجه دیگر با دستور show vtp password و یا مشاهده ی vlan.dat نمی تواند پسورد را بصورت واضح نمایش دهد.
با استفاده از دستور زیر می توانید پسورد در VTP را بصورت Hidden پیکربندی کنید، در این مثال پسورد Netcoexpert را برای VTP پیکربندی کرده ایم:

 

VTP Password Configuration
SW (config)# vtp password Netcoexpert hidden
Setting device VTP password to Netsecret

 

با اضافه کردن hidden به آخر دستور، پسورد بصورت رمزگذاری شده پیکربندی می شود.

VTP Password Verification
SW# show vtp password
VTP Password: CF94C2FF1CDCEB8DC795CEB21E305F10

 

 

فایل vlan.dat نیز دیگر پسورد را بصورت واضح نمایش نمی دهد:

00000030: 00000000 00000001 30383037 30383133 .... .... 0807 0813
00000040: 34323334 6280F325 0C2EB606 53154B3D 4234 b.s% ..6. S.K=
00000050: BFE30CA5 00CF94C2 FF1CDCEB 8DC795CE ?c.% .O.B ..\k .G.N
00000060: B21E305F 10000000 00000000 00000000 2.0_ .... .... ....

 

 

روش Secret به این صورت می باشد که الزاما باید پسورد بصورت 32 کارکتر هگزادسیمال نوشته شود.به عنوان مثال:

VTP Password Configuration
SW (config)#vtp password CF94C2FF1CDCEB8DC795CEB21E305F10 secret

 

عملکرد VTP برای VLAN ها
 
هرگونه تغییر در پیکربندی های VLAN باعث می شود مقدار Configuration revision number افزایش یابد و به ازای هر تغییر پیام های VTPv3 ارسال شوند.تغییرات VLAN ها می تواند یک یا همه ی این موارد را شامل شود:
 
• ایجاد و یا حذف کردن VLAN بر روی سوییچ Primary server
• تغییر وضعیت VLAN (Active کردن و یا Suspend کردن یک یا چند VLAN)
• تغییر اسم VLAN و یا تغییر MTU 
با فرض یک پیکربندی پایدار هر 300 ثانیه، یک پیام VTP ورژن 3 (Summary Advert) برای همگام سازی تمام دستگاه ها در دامنه ی VTP ایجاد و ارسال می شود. این مکانیزم بروزرسانی از ورژن 1 و 2 موجود می باشد و تغییری نکرده است.
 
VLAN های مخفی (Hidden VLANs)
 
سوییچ های Multilayer میتوانند در لایه ی Network از مدل OSI فعالیت کنند در نتیجه می توانیم بر روی اینترفیس های آنها IP Address پیکربندی کنیم. برای اینکه اینکار محقق شود و بتوانیم بر روی اینترفیس های آنها IP Address پیکربندی کنیم از ویژگی ای تحت عنوان Internal VLAN ها استفاده شده است. که ما این VLAN ها را به عنوان Hidden VLAN یا VLAN های مخفی نیز میشناسیم. Hidden VLAN برای برخی از ویژگی های داخلی، از جمله پشتیبانی از اینترفیس های لایه 3 استفاده می شود. در مثال زیر اینترفیس F0/12 را در حالت Routed قرار داده ایم و بر روی آن IP Address پیکربندی کرده ایم.
 

SW# show run interface fastethernet 0/12
Building configuration…
Current configuration: 69 bytes
!
Interface fastethernet 0/12 
ip address 10.10.1.1 255.255.255.0
end

 

VLAN شماره 1018 بصورت خودکار به این اینترفیس اختصاص داده شده است.

SW# show vlan internal usage
VLAN Usage
---- --------------------------
<SNIP>
1018 FastEthernet 0/12

 

از سویی به دلیل اینکه VLAN شماره 1018 برای اینترفیس Fast0/12 در نظر گرفته شده است دیگر نمی توان از آن به عنوان VLAN معمولی در شبکه استفاده کرد.