Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Les VLANs pour les Nuls : VTP / MRP (5/10)

Les VLANs pour les Nuls : VTP / MRP (5/10)
2011-10-172013-04-10sériesfr
Dans l'optique « plug and play », l'idéal, c'est que tous les VLANs soient connus du switch. Mais cela n'est pas possible pour cause de limitations liées au matériel d'entrée de gamme. Du coup, il faut quand même définir les VLANs que l'on veut...
Publié le 17 Octobre 2011 par Pascal Bonnard dans séries

Dans l’optique « plug and play », l’idéal, c'est que tous les VLANs soient connus du switch. Mais cela n’est pas possible pour cause de limitations liées au matériel d’entrée de gamme. Du coup, il faut quand même définir les VLANs que l’on veut utiliser. Par défaut, la description des VLANs est stockée dans une zone spéciale, la VLAN DATABASE.

Et c’est ici qu’intervient VTP : VLAN Transfert Protocol. Ce protocole propriétaire a un équivalent normalisé : MRP.

L’idée est simple : dans un réseau local, un seul switch (le serveur) connait les VLANs utilisés, les autres switches vont apprendre ces VLANs grâce au protocole VTP.

Si on veut par exemple ajouter un VLAN, il suffit de mettre à jour la VLAN DATABASE dans le switch serveur. C’est très bien, tant que le switch serveur fonctionne. Mais s’il est en panne je fais quoi ? Et bien, dans ce cas, je configure un serveur de secours... Oui, mais s'ils marchent tous les deux, lequel a raison ?  Ah, mais c’est qu’on a pensé à tout : il y a un numéro de version de la VLAN DATABASE qui sert à choisir la plus à jour.

Tout cela est très bien, sauf que … Si Gaston branche un switch dont la VLAN DATABASE porte un numéro de version supérieur à celle du serveur, le LAN récupère la VLAN DATABASE du switch de Gaston. On peut parier que le LAN ne va plus bien marcher.

Du coup, VTP utilise un paramètre « vtp domain», assorti d’un « vtp password », qui permet d’éviter un tel accident. Certes, cela devrait éviter beaucoup d’accidents mais ce n’est pas suffisant pour prévenir une attaque...

Conclusion : avec VTP, pour éviter les accidents, il faut définir un « domain name ». Seuls les naïfs feront confiance au « vtp password »...

Une bonne pratique est de ne pas utiliser VTP. Pour cela, il faut configurer VTP en mode off (si disponible), ou sinon en mode transparent.

En l’absence de VTP, il faut bien sûr configurer les VLANs dans chaque switch du LAN.
Nota : avec le mode transparent, les « extended VLAN » sont accessibles. En clair, on peut utiliser des numéros de VLAN entre 1 et 4095.

Vos remarques, questions et autres interventions sont les bienvenues.

Pascal Bonnard

les articles de la série "Ethernet" :

Ethernet, un niveau à ne pas négliger
Les attaques « classiques » : interception de trafic, dénis de service
A éliminer d’urgence : DTP
Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres
Les VLANs pour les Nuls : VTP / MRP
Les boucles et les tempêtes : STP et comment s’en dispenser
L’art d’en dire trop : CDP et LLDP
Incroyable, mais vrai : CTP loopback
A utiliser sans (trop) d’ illusions : LAG (PaGP, LACP)
Conclusion, la configuration ultime pour mes switches

2 Commentaires

  • 6 Février 2012
    2012-02-06
    par
    Pascal
    Merci pour cette précision.
    VTP version 3 est disponible à partir de l'IOS 12.2(52)
    Il semble qu'on puisse aussi l'utiliser pour centraliser la gestion des instances de MSTP.
  • 6 Février 2012
    2012-02-06
    par
    Hornet
    Bonjour,

    Beaucoup de lacune sont effectivement présentent dans VTP (version 1 et 2). En revanche vous oubliez VTP version 3 qui permet notamment :
    - le support des "extended" VLAN (1-4095)
    - une sécurité renforcée, inhibant la bourde de Gaston avec son switch présentant un numéro de version supérieur au serveur VTP...
    - le support des PVLAN,
    - le support des anciennes versions de VTP (1 et 2)....

    Bref VTP v3 est la réponse, plutôt que le mode transparent qui nécessite malgré tout de renseigner l'intégralité des VLANS sur chaque commutateurs (imaginer une entreprise qui dispose de plus de 1000 VLANS, comme la mienne....).


Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage