VTP域配置中VLAN信息覆蓋問題的探討

摘 要：對于大型網絡來說，VTP大大減輕了管理員進行VLAN配置的重復工作量，但是，在配置VTP域時，或者把一些使用過的交換機連接到系統中時，如果稍有不慎，很可能會發生已有VLAN信息被覆蓋的危險，本文論述了這種VLAN信息覆蓋產生的原因及如何通過正確的配置步驟避免災難的發生。

關鍵詞：VTP；VLAN；覆蓋；修訂號

一、VTP協議介紹

VTP（Vlan Trunking Protocol，VLAN中繼協議），這是Cisco的一個私有協議，但大多數交換機都支持該協議。VTP是一個二層協議。在網絡搭建和配置過程中，經常要進行VLAN的劃分，而且交換機的VLAN的配置大多是相同的，為每個交換機重復輸入相同的創建VLAN的指令，是一項繁重、枯燥、又容易出錯的事情，通過VTP可以集中管理局域網中VLAN的增加，刪除和重命名等操作，這樣不僅保持了VLAN信息的一致，同時大大減輕了VLAN配置的工作負擔，也減少了VLAN配置過程中可能的出錯問題。

二、VTP的原理及實現

在實施VTP協議，用于管理在同一個域的網絡范圍內VLANs的建立、刪除和重命名。當使用VTP協議，把一臺交換機配置成VTP Server時， 其余交換機將自動接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺設備上配置相同VLAN信息的工作量，而且保持了VLAN配置的統一性。

VTP域是由具有相同域名，并且用trunk相連在一起的一組交換機組成。VTP域中至少要有一臺VTP服務器。

三、 VTP的幾種工作模式

根據交換機在VTP域中的作用不同，VTP可以分為以下三種模式：

Server（服務器模式）：在VTP服務器上能創建、修改和刪除VLAN，同時這些信息會在Trunk鏈路上通告給域中的其它交換機。

Client（客戶機模式）：在VTP客戶機上不允許創建、修改和刪除VLAN，但它會監聽來自其它交換機的VTP通告，并更改自己的VLAN信息，接收到的VTP信息也會在Trunk鏈路上向其它交換機轉發。

Transparent（透明模式）：可以在這種模式的交換機上創建、修改和刪除VLAN，但是這些VLAN信息并不會通告給其它交換機，它也不接受其它交換機的VTP通告而更新自己的VLAN信息。然而，它會通過Trunk鏈路轉發收到的VTP通告。

四、VTP通告

VLAN信息的同步是通過VTP通告來實現的，VTP通告只能在Trunk鏈路上傳輸（因此交換機之間的鏈路必須成功配置Trunk）。VTP通告中有一個字段稱為修訂號（Revision），代表VTP幀的修訂級別，它是一個32位的數字。交換機的默認修訂號為0。每次添加或刪除VLAN時，修訂號都會遞增。修訂號用于確定從另一臺交換機收到的VLAN信息是否比儲存在本交換機上的信息更新。如果收到的VTP通告修訂號更高，則本交換機將根據此通告更新自身的VLAN信息。如果交換機收到的修訂號更低的通告，會用自己的VLAN信息反向覆蓋。需要注意的是：高Revision的通告會覆蓋低Revision的通告，而不管自己或者對方是Server還是Client。

新交換機出廠時的默認配置為VLAN1，默認模式為服務器，域名為空，版本為1，默認修訂號為0。每當VLAN信息變化時修訂號會增加1（當為Transparent模式時，修訂號始終為0）。

五、將舊交換機接入VTP域中可能遇到的VLAN信息覆蓋問題

實際工作中，經常有可能把一臺使用過的交換機拿過來使用，如果拿過來的舊交換機不經任何設置的直接和其他交換機相連，這樣會帶來一些潛在的危險，比如：如果舊交換機的修訂號高于接入VTP域的服務器修訂號時，VTP通告是以修訂號為更新依準，即修訂號高的那個交換機機的VLAN信息要作為整個域的VLAN信息被SERVER去通告發布，但發布的權利只有SERVER才有，即SERVER看到哪個的修訂號高，它就以哪個的信息為準去通告整個域。這樣，因為舊交換機的VTP修訂號高，則舊交換機上的VLAN 信息就覆蓋了接入的VTP域中原交換機的VLAN配置，這樣做的后果是非常嚴重的。

六、將一臺舊交換機接入VTP域時建議的操作步驟

（1）將舊交換機的VTP模式改為透明模式。因為透明模式的交換機的修訂號始終為0，且透明模式不會學習VTP服務器的vlan配置。可以通過輸入指令：vtp mode transparent實現模式更改

（2）更改該舊交換機的VTP域名。更改舊交換機的VTP域名，確保該舊交換機的VTP域名與要接入的VTP域的域名相同因為只有域名相同，才會通告vlan信息。

（3）將舊交換機接入交換域內，配置VTP的一些信息。

（4）開啟trunk。因為VTP通告是在Trunk鏈路上自動傳播，如果沒有開啟trunk，則VTP通告沒法完成

（5）將舊交換機的VTP模式由透明模式改為客戶端模式，將舊交換機的VTP模式由透明模式改為客戶端模式時，交換機的修訂號依然為0，這樣，低修訂號的舊交換機就會向高修訂號的VTP學習。

（6）配置VTP的密碼。黑客很容易在現有網絡中接入一臺交換機或者用軟件模擬一臺交換機，通告高修訂號的VTP通告來破壞網絡， 可以配置VTP密碼防止黑客的破壞，但是VTP密碼是不能被加密的。且任何密碼都是區分大小寫的。

（7）開啟VTP修剪。VTP Pruning（VTP裁剪），是VTP的一個重要功能，能夠減少中繼端口上不必要的信息量，默認情況下思科的VTP裁剪是關閉的。在沒有開啟VTP裁剪以前，在主干端口上會發送全部VLAN信息的VTP通告，開啟了VTP裁剪后，則，如果某個交換機沒有屬于這個VLAN的接口那么VTP通告中將不會包含這個VLAN的信息，從而大大減少中繼端口上不必要的信息量

作者簡介：白巧花（1975-），女，山西五臺人，講師，碩士，從事計算機網絡技術的課程建設與教學。