VTP域配置中VLAN信息覆蓋問題的探討

摘 要：對于大型網(wǎng)絡(luò)來說，VTP大大減輕了管理員進(jìn)行VLAN配置的重復(fù)工作量，但是，在配置VTP域時，或者把一些使用過的交換機連接到系統(tǒng)中時，如果稍有不慎，很可能會發(fā)生已有VLAN信息被覆蓋的危險，本文論述了這種VLAN信息覆蓋產(chǎn)生的原因及如何通過正確的配置步驟避免災(zāi)難的發(fā)生。

關(guān)鍵詞：VTP；VLAN；覆蓋；修訂號

一、VTP協(xié)議介紹

VTP（Vlan Trunking Protocol，VLAN中繼協(xié)議），這是Cisco的一個私有協(xié)議，但大多數(shù)交換機都支持該協(xié)議。VTP是一個二層協(xié)議。在網(wǎng)絡(luò)搭建和配置過程中，經(jīng)常要進(jìn)行VLAN的劃分，而且交換機的VLAN的配置大多是相同的，為每個交換機重復(fù)輸入相同的創(chuàng)建VLAN的指令，是一項繁重、枯燥、又容易出錯的事情，通過VTP可以集中管理局域網(wǎng)中VLAN的增加，刪除和重命名等操作，這樣不僅保持了VLAN信息的一致，同時大大減輕了VLAN配置的工作負(fù)擔(dān)，也減少了VLAN配置過程中可能的出錯問題。

二、VTP的原理及實現(xiàn)

在實施VTP協(xié)議，用于管理在同一個域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除和重命名。當(dāng)使用VTP協(xié)議，把一臺交換機配置成VTP Server時， 其余交換機將自動接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺設(shè)備上配置相同VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。

VTP域是由具有相同域名，并且用trunk相連在一起的一組交換機組成。VTP域中至少要有一臺VTP服務(wù)器。

三、 VTP的幾種工作模式

根據(jù)交換機在VTP域中的作用不同，VTP可以分為以下三種模式：

Server（服務(wù)器模式）：在VTP服務(wù)器上能創(chuàng)建、修改和刪除VLAN，同時這些信息會在Trunk鏈路上通告給域中的其它交換機。

Client（客戶機模式）：在VTP客戶機上不允許創(chuàng)建、修改和刪除VLAN，但它會監(jiān)聽來自其它交換機的VTP通告，并更改自己的VLAN信息，接收到的VTP信息也會在Trunk鏈路上向其它交換機轉(zhuǎn)發(fā)。

Transparent（透明模式）：可以在這種模式的交換機上創(chuàng)建、修改和刪除VLAN，但是這些VLAN信息并不會通告給其它交換機，它也不接受其它交換機的VTP通告而更新自己的VLAN信息。然而，它會通過Trunk鏈路轉(zhuǎn)發(fā)收到的VTP通告。

四、VTP通告

VLAN信息的同步是通過VTP通告來實現(xiàn)的，VTP通告只能在Trunk鏈路上傳輸（因此交換機之間的鏈路必須成功配置Trunk）。VTP通告中有一個字段稱為修訂號（Revision），代表VTP幀的修訂級別，它是一個32位的數(shù)字。交換機的默認(rèn)修訂號為0。每次添加或刪除VLAN時，修訂號都會遞增。修訂號用于確定從另一臺交換機收到的VLAN信息是否比儲存在本交換機上的信息更新。如果收到的VTP通告修訂號更高，則本交換機將根據(jù)此通告更新自身的VLAN信息。如果交換機收到的修訂號更低的通告，會用自己的VLAN信息反向覆蓋。需要注意的是：高Revision的通告會覆蓋低Revision的通告，而不管自己或者對方是Server還是Client。

新交換機出廠時的默認(rèn)配置為VLAN1，默認(rèn)模式為服務(wù)器，域名為空，版本為1，默認(rèn)修訂號為0。每當(dāng)VLAN信息變化時修訂號會增加1（當(dāng)為Transparent模式時，修訂號始終為0）。

五、將舊交換機接入VTP域中可能遇到的VLAN信息覆蓋問題

實際工作中，經(jīng)常有可能把一臺使用過的交換機拿過來使用，如果拿過來的舊交換機不經(jīng)任何設(shè)置的直接和其他交換機相連，這樣會帶來一些潛在的危險，比如：如果舊交換機的修訂號高于接入VTP域的服務(wù)器修訂號時，VTP通告是以修訂號為更新依準(zhǔn)，即修訂號高的那個交換機機的VLAN信息要作為整個域的VLAN信息被SERVER去通告發(fā)布，但發(fā)布的權(quán)利只有SERVER才有，即SERVER看到哪個的修訂號高，它就以哪個的信息為準(zhǔn)去通告整個域。這樣，因為舊交換機的VTP修訂號高，則舊交換機上的VLAN 信息就覆蓋了接入的VTP域中原交換機的VLAN配置，這樣做的后果是非常嚴(yán)重的。

六、將一臺舊交換機接入VTP域時建議的操作步驟

（1）將舊交換機的VTP模式改為透明模式。因為透明模式的交換機的修訂號始終為0，且透明模式不會學(xué)習(xí)VTP服務(wù)器的vlan配置。可以通過輸入指令：vtp mode transparent實現(xiàn)模式更改

（2）更改該舊交換機的VTP域名。更改舊交換機的VTP域名，確保該舊交換機的VTP域名與要接入的VTP域的域名相同因為只有域名相同，才會通告vlan信息。

（3）將舊交換機接入交換域內(nèi)，配置VTP的一些信息。

（4）開啟trunk。因為VTP通告是在Trunk鏈路上自動傳播，如果沒有開啟trunk，則VTP通告沒法完成

（5）將舊交換機的VTP模式由透明模式改為客戶端模式，將舊交換機的VTP模式由透明模式改為客戶端模式時，交換機的修訂號依然為0，這樣，低修訂號的舊交換機就會向高修訂號的VTP學(xué)習(xí)。

（6）配置VTP的密碼。黑客很容易在現(xiàn)有網(wǎng)絡(luò)中接入一臺交換機或者用軟件模擬一臺交換機，通告高修訂號的VTP通告來破壞網(wǎng)絡(luò)， 可以配置VTP密碼防止黑客的破壞，但是VTP密碼是不能被加密的。且任何密碼都是區(qū)分大小寫的。

（7）開啟VTP修剪。VTP Pruning（VTP裁剪），是VTP的一個重要功能，能夠減少中繼端口上不必要的信息量，默認(rèn)情況下思科的VTP裁剪是關(guān)閉的。在沒有開啟VTP裁剪以前，在主干端口上會發(fā)送全部VLAN信息的VTP通告，開啟了VTP裁剪后，則，如果某個交換機沒有屬于這個VLAN的接口那么VTP通告中將不會包含這個VLAN的信息，從而大大減少中繼端口上不必要的信息量

作者簡介：白巧花（1975-），女，山西五臺人，講師，碩士，從事計算機網(wǎng)絡(luò)技術(shù)的課程建設(shè)與教學(xué)。