Tiến trình cập nhật của VTP bắt đầu khi người quản trị thêm vào hoặc xóa cấu hình của VLAN trên VTP server. Khi cấu hình mới xuất hiện, VTP sẽ tăng giá trị VTP revision lên 1 và quảng bá toàn bộ cơ sở dữ liệu VLAN với giá trị revision number mới. Khái niệm chỉ số VTP cho phép các switch biết khi nào có sự thay đổi trong cơ sở dữ liệu VLAN. Khi nhận được một cập nhật VTP, nếu chỉ số VTP trong cập nhật VTP là cao hơn chỉ số revision number hiện hành, switch sẽ cho rằng có một phiên bản mới của cơ sở dữ liệu VLAN.
Mặc định Cisco switch dùng chế độ VTP server nhưng switch sẽ không gửi các cập nhật VTP cho đến khi nào nó được cấu hình VTP domain name. Ở thời điểm này, server bắt đầu gửi các cập nhật VTP với các phiên bản cơ sở dữ liệu khác nhau và các chỉ số revision number khác nhau khi có thông tin cấu hình VLAN database thay đổi. Tuy nhiên các VTP client thật sự không được cấu hình VTP domain name. Nếu không được cấu hình, client sẽ giả sử là nó sẽ dùng VTP domain name trong gói tin cập nhật VTP đầu tiên mà nó nhận được. Tuy nhiên, client vẫn phải cần cấu hình VTP mode. Khi cấu hình VTP, để tăng tính dự phòng, các hệ thống mạng dùng VTP thường dùng tối thiểu hai VTP server. Trong điều kiện bình thường, một sự thay đổi về VLAN có thể chỉ thực hiện trên switch server và các VTP server khác sẽ cập nhật sự thay đổi này. Sau khi cập nhật xong, VTP server sẽ lưu các thông tin cấu hình VLAN thường trực (ví dụ như trong NVRAM) trong khi VTP client không lưu thông tin này.
Việc hỗ trợ nhiều VTP server gây ra một khả năng khác là việc vô tình thay đổi cấu hình VLAN của hệ thống mạng. Khi một VTP Client hoặc một VTP transparent switch kết nối lần đầu vào một hệ thống mạng thông qua kết nối trung kế, nó không thể ảnh hưởng đến cấu hình hiện tại bởi vì các chế độ hoạt động này không tạo ra các gói tin cập nhật VTP. Tuy nhiên nếu một switch mới hoạt động ở chế độ VTP server được gắn vào mạng thông qua kết nối trung kế, switch đó có khả năng thay đổi cấu hình VLAN của các switch khác bằng chính thông tin của switch mới. Nếu switch mới có các đặc điểm sau, nó sẽ có thể thay đổi cấu hình các switch khác:
- Kết nối là trung kế.
- Switch mới có cùng VTP domain.
- Chỉ số revision number là cao hơn các switch hiện có.
- Nếu mật khẩu của VTP domain là được cấu hình, mật khẩu của switch mới phải là giống.
Chỉ số revision number và tên VTP domain có thể được thấy thông qua các phần mềm sniffer. Để ngăn ngừa kiểu tấn công DoS dùng VTP, hãy cài đặt mật khẩu cho VTP. Mật khẩu này thường được mã hóa dạng MD5. Ngoài ra, vài nơi triển khai chỉ đơn giản dùng chế độ VTP transparent trên tất cả các switch, ngăn ngừa switch khỏi việc lắng nghe các cập nhật VTP từ các switch khác.
Cấu hình VTP
VTP gửi cập nhật ra tất cả các kết nối trung kế (ISL hay Dot1q). Tuy nhiên, nếu theo chế độ mặc định, các switch sẽ trong chế độ server. Nếu tên của VTP Domain không được cấu hình, switch sẽ không gửi ra các cập nhật VTP. Trước khi một switch có thể học thông tin VLAN từ các switch khác, ít nhất một switch phải là VTP server với cấu hình tối thiểu, đặc biệt là phải có tên domain.
Các VLAN bình thường và VLAN mở rộng
Một vài VLAN được xem là bình thường, trong khi một vài VLAN khác được xem là VLAN mở rộng. Các VLAN được xem là bình thường nếu số VLAN nằm trong khoảng từ 1 cho đến 1005 và có thể được quảng bá thông qua VTP phiên bản 1 và 2. Các VLAN này có thể được cấu hình trong chế độ VLAN và được lưu trữ trong file vlan.dat chứa trong flash. Các VLAN mở rộng sẽ trong tầm từ 1006 cho đến 4094. Tuy nhiên các VLAN này không thể được cấu hình trong chế độ VLAN database và không được lưu trong vlan.dat hay không được quảng cáo thông qua VTP. Để cấu hình VLAN mở rộng này, switch phải ở trong chế độ transparent. Cả hai loại giao thức trung kế ISL và dot1q đều hỗ trợ dãy VLAN mở rộng. Ban đầu, ISL chỉ hỗ trợ các VLAN bình thường, dùng 10 đến 15 bit trong ISL header để chỉ ra VLAN. Giao thức 802.1Q dùng 12 bit để chỉ ra thông tin VLAN, vì vậy hỗ trợ các VLAN mở rộng. Sau đó, Cisco điều chỉnh lại giao thức ISL dùng 12 bit để mang thông tin VLAN, vì vậy ISL cũng đã hỗ trợ các VLAN mở rộng.
Mặc định Cisco switch dùng chế độ VTP server nhưng switch sẽ không gửi các cập nhật VTP cho đến khi nào nó được cấu hình VTP domain name. Ở thời điểm này, server bắt đầu gửi các cập nhật VTP với các phiên bản cơ sở dữ liệu khác nhau và các chỉ số revision number khác nhau khi có thông tin cấu hình VLAN database thay đổi. Tuy nhiên các VTP client thật sự không được cấu hình VTP domain name. Nếu không được cấu hình, client sẽ giả sử là nó sẽ dùng VTP domain name trong gói tin cập nhật VTP đầu tiên mà nó nhận được. Tuy nhiên, client vẫn phải cần cấu hình VTP mode. Khi cấu hình VTP, để tăng tính dự phòng, các hệ thống mạng dùng VTP thường dùng tối thiểu hai VTP server. Trong điều kiện bình thường, một sự thay đổi về VLAN có thể chỉ thực hiện trên switch server và các VTP server khác sẽ cập nhật sự thay đổi này. Sau khi cập nhật xong, VTP server sẽ lưu các thông tin cấu hình VLAN thường trực (ví dụ như trong NVRAM) trong khi VTP client không lưu thông tin này.
Việc hỗ trợ nhiều VTP server gây ra một khả năng khác là việc vô tình thay đổi cấu hình VLAN của hệ thống mạng. Khi một VTP Client hoặc một VTP transparent switch kết nối lần đầu vào một hệ thống mạng thông qua kết nối trung kế, nó không thể ảnh hưởng đến cấu hình hiện tại bởi vì các chế độ hoạt động này không tạo ra các gói tin cập nhật VTP. Tuy nhiên nếu một switch mới hoạt động ở chế độ VTP server được gắn vào mạng thông qua kết nối trung kế, switch đó có khả năng thay đổi cấu hình VLAN của các switch khác bằng chính thông tin của switch mới. Nếu switch mới có các đặc điểm sau, nó sẽ có thể thay đổi cấu hình các switch khác:
- Kết nối là trung kế.
- Switch mới có cùng VTP domain.
- Chỉ số revision number là cao hơn các switch hiện có.
- Nếu mật khẩu của VTP domain là được cấu hình, mật khẩu của switch mới phải là giống.
Chỉ số revision number và tên VTP domain có thể được thấy thông qua các phần mềm sniffer. Để ngăn ngừa kiểu tấn công DoS dùng VTP, hãy cài đặt mật khẩu cho VTP. Mật khẩu này thường được mã hóa dạng MD5. Ngoài ra, vài nơi triển khai chỉ đơn giản dùng chế độ VTP transparent trên tất cả các switch, ngăn ngừa switch khỏi việc lắng nghe các cập nhật VTP từ các switch khác.
Cấu hình VTP
VTP gửi cập nhật ra tất cả các kết nối trung kế (ISL hay Dot1q). Tuy nhiên, nếu theo chế độ mặc định, các switch sẽ trong chế độ server. Nếu tên của VTP Domain không được cấu hình, switch sẽ không gửi ra các cập nhật VTP. Trước khi một switch có thể học thông tin VLAN từ các switch khác, ít nhất một switch phải là VTP server với cấu hình tối thiểu, đặc biệt là phải có tên domain.
Các VLAN bình thường và VLAN mở rộng
Một vài VLAN được xem là bình thường, trong khi một vài VLAN khác được xem là VLAN mở rộng. Các VLAN được xem là bình thường nếu số VLAN nằm trong khoảng từ 1 cho đến 1005 và có thể được quảng bá thông qua VTP phiên bản 1 và 2. Các VLAN này có thể được cấu hình trong chế độ VLAN và được lưu trữ trong file vlan.dat chứa trong flash. Các VLAN mở rộng sẽ trong tầm từ 1006 cho đến 4094. Tuy nhiên các VLAN này không thể được cấu hình trong chế độ VLAN database và không được lưu trong vlan.dat hay không được quảng cáo thông qua VTP. Để cấu hình VLAN mở rộng này, switch phải ở trong chế độ transparent. Cả hai loại giao thức trung kế ISL và dot1q đều hỗ trợ dãy VLAN mở rộng. Ban đầu, ISL chỉ hỗ trợ các VLAN bình thường, dùng 10 đến 15 bit trong ISL header để chỉ ra VLAN. Giao thức 802.1Q dùng 12 bit để chỉ ra thông tin VLAN, vì vậy hỗ trợ các VLAN mở rộng. Sau đó, Cisco điều chỉnh lại giao thức ISL dùng 12 bit để mang thông tin VLAN, vì vậy ISL cũng đã hỗ trợ các VLAN mở rộng.
Comment