VTP域配置中VLAN信息覆蓋問(wèn)題的探討

摘 要：對(duì)于大型網(wǎng)絡(luò)來(lái)說(shuō)，VTP大大減輕了管理員進(jìn)行VLAN配置的重復(fù)工作量，但是，在配置VTP域時(shí)，或者把一些使用過(guò)的交換機(jī)連接到系統(tǒng)中時(shí)，如果稍有不慎，很可能會(huì)發(fā)生已有VLAN信息被覆蓋的危險(xiǎn)，本文論述了這種VLAN信息覆蓋產(chǎn)生的原因及如何通過(guò)正確的配置步驟避免災(zāi)難的發(fā)生。

關(guān)鍵詞：VTP；VLAN；覆蓋；修訂號(hào)

一、VTP協(xié)議介紹

VTP（Vlan Trunking Protocol，VLAN中繼協(xié)議），這是Cisco的一個(gè)私有協(xié)議，但大多數(shù)交換機(jī)都支持該協(xié)議。VTP是一個(gè)二層協(xié)議。在網(wǎng)絡(luò)搭建和配置過(guò)程中，經(jīng)常要進(jìn)行VLAN的劃分，而且交換機(jī)的VLAN的配置大多是相同的，為每個(gè)交換機(jī)重復(fù)輸入相同的創(chuàng)建VLAN的指令，是一項(xiàng)繁重、枯燥、又容易出錯(cuò)的事情，通過(guò)VTP可以集中管理局域網(wǎng)中VLAN的增加，刪除和重命名等操作，這樣不僅保持了VLAN信息的一致，同時(shí)大大減輕了VLAN配置的工作負(fù)擔(dān)，也減少了VLAN配置過(guò)程中可能的出錯(cuò)問(wèn)題。

二、VTP的原理及實(shí)現(xiàn)

在實(shí)施VTP協(xié)議，用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除和重命名。當(dāng)使用VTP協(xié)議，把一臺(tái)交換機(jī)配置成VTP Server時(shí)， 其余交換機(jī)將自動(dòng)接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺(tái)設(shè)備上配置相同VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。

VTP域是由具有相同域名，并且用trunk相連在一起的一組交換機(jī)組成。VTP域中至少要有一臺(tái)VTP服務(wù)器。

三、 VTP的幾種工作模式

根據(jù)交換機(jī)在VTP域中的作用不同，VTP可以分為以下三種模式：

Server（服務(wù)器模式）：在VTP服務(wù)器上能創(chuàng)建、修改和刪除VLAN，同時(shí)這些信息會(huì)在Trunk鏈路上通告給域中的其它交換機(jī)。

Client（客戶機(jī)模式）：在VTP客戶機(jī)上不允許創(chuàng)建、修改和刪除VLAN，但它會(huì)監(jiān)聽(tīng)來(lái)自其它交換機(jī)的VTP通告，并更改自己的VLAN信息，接收到的VTP信息也會(huì)在Trunk鏈路上向其它交換機(jī)轉(zhuǎn)發(fā)。

Transparent（透明模式）：可以在這種模式的交換機(jī)上創(chuàng)建、修改和刪除VLAN，但是這些VLAN信息并不會(huì)通告給其它交換機(jī)，它也不接受其它交換機(jī)的VTP通告而更新自己的VLAN信息。然而，它會(huì)通過(guò)Trunk鏈路轉(zhuǎn)發(fā)收到的VTP通告。

四、VTP通告

VLAN信息的同步是通過(guò)VTP通告來(lái)實(shí)現(xiàn)的，VTP通告只能在Trunk鏈路上傳輸（因此交換機(jī)之間的鏈路必須成功配置Trunk）。VTP通告中有一個(gè)字段稱為修訂號(hào)（Revision），代表VTP幀的修訂級(jí)別，它是一個(gè)32位的數(shù)字。交換機(jī)的默認(rèn)修訂號(hào)為0。每次添加或刪除VLAN時(shí)，修訂號(hào)都會(huì)遞增。修訂號(hào)用于確定從另一臺(tái)交換機(jī)收到的VLAN信息是否比儲(chǔ)存在本交換機(jī)上的信息更新。如果收到的VTP通告修訂號(hào)更高，則本交換機(jī)將根據(jù)此通告更新自身的VLAN信息。如果交換機(jī)收到的修訂號(hào)更低的通告，會(huì)用自己的VLAN信息反向覆蓋。需要注意的是：高Revision的通告會(huì)覆蓋低Revision的通告，而不管自己或者對(duì)方是Server還是Client。

新交換機(jī)出廠時(shí)的默認(rèn)配置為VLAN1，默認(rèn)模式為服務(wù)器，域名為空，版本為1，默認(rèn)修訂號(hào)為0。每當(dāng)VLAN信息變化時(shí)修訂號(hào)會(huì)增加1（當(dāng)為Transparent模式時(shí)，修訂號(hào)始終為0）。

五、將舊交換機(jī)接入VTP域中可能遇到的VLAN信息覆蓋問(wèn)題

實(shí)際工作中，經(jīng)常有可能把一臺(tái)使用過(guò)的交換機(jī)拿過(guò)來(lái)使用，如果拿過(guò)來(lái)的舊交換機(jī)不經(jīng)任何設(shè)置的直接和其他交換機(jī)相連，這樣會(huì)帶來(lái)一些潛在的危險(xiǎn)，比如：如果舊交換機(jī)的修訂號(hào)高于接入VTP域的服務(wù)器修訂號(hào)時(shí)，VTP通告是以修訂號(hào)為更新依準(zhǔn)，即修訂號(hào)高的那個(gè)交換機(jī)機(jī)的VLAN信息要作為整個(gè)域的VLAN信息被SERVER去通告發(fā)布，但發(fā)布的權(quán)利只有SERVER才有，即SERVER看到哪個(gè)的修訂號(hào)高，它就以哪個(gè)的信息為準(zhǔn)去通告整個(gè)域。這樣，因?yàn)榕f交換機(jī)的VTP修訂號(hào)高，則舊交換機(jī)上的VLAN 信息就覆蓋了接入的VTP域中原交換機(jī)的VLAN配置，這樣做的后果是非常嚴(yán)重的。

六、將一臺(tái)舊交換機(jī)接入VTP域時(shí)建議的操作步驟

（1）將舊交換機(jī)的VTP模式改為透明模式。因?yàn)橥该髂Ｊ降慕粨Q機(jī)的修訂號(hào)始終為0，且透明模式不會(huì)學(xué)習(xí)VTP服務(wù)器的vlan配置?？梢酝ㄟ^(guò)輸入指令：vtp mode transparent實(shí)現(xiàn)模式更改

（2）更改該舊交換機(jī)的VTP域名。更改舊交換機(jī)的VTP域名，確保該舊交換機(jī)的VTP域名與要接入的VTP域的域名相同因?yàn)橹挥杏蛎嗤?，才?huì)通告vlan信息。

（3）將舊交換機(jī)接入交換域內(nèi)，配置VTP的一些信息。

（4）開(kāi)啟trunk。因?yàn)閂TP通告是在Trunk鏈路上自動(dòng)傳播，如果沒(méi)有開(kāi)啟trunk，則VTP通告沒(méi)法完成

（5）將舊交換機(jī)的VTP模式由透明模式改為客戶端模式，將舊交換機(jī)的VTP模式由透明模式改為客戶端模式時(shí)，交換機(jī)的修訂號(hào)依然為0，這樣，低修訂號(hào)的舊交換機(jī)就會(huì)向高修訂號(hào)的VTP學(xué)習(xí)。

（6）配置VTP的密碼。黑客很容易在現(xiàn)有網(wǎng)絡(luò)中接入一臺(tái)交換機(jī)或者用軟件模擬一臺(tái)交換機(jī)，通告高修訂號(hào)的VTP通告來(lái)破壞網(wǎng)絡(luò)， 可以配置VTP密碼防止黑客的破壞，但是VTP密碼是不能被加密的。且任何密碼都是區(qū)分大小寫(xiě)的。

（7）開(kāi)啟VTP修剪。VTP Pruning（VTP裁剪），是VTP的一個(gè)重要功能，能夠減少中繼端口上不必要的信息量，默認(rèn)情況下思科的VTP裁剪是關(guān)閉的。在沒(méi)有開(kāi)啟VTP裁剪以前，在主干端口上會(huì)發(fā)送全部VLAN信息的VTP通告，開(kāi)啟了VTP裁剪后，則，如果某個(gè)交換機(jī)沒(méi)有屬于這個(gè)VLAN的接口那么VTP通告中將不會(huì)包含這個(gè)VLAN的信息，從而大大減少中繼端口上不必要的信息量

作者簡(jiǎn)介：白巧花（1975-），女，山西五臺(tái)人，講師，碩士，從事計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的課程建設(shè)與教學(xué)。