Dans l’optique « plug and play », l’idéal, c'est que tous les VLANs soient connus du switch. Mais cela n’est pas possible pour cause de limitations liées au matériel d’entrée de gamme. Du coup, il faut quand même définir les VLANs que l’on veut utiliser. Par défaut, la description des VLANs est stockée dans une zone spéciale, la VLAN DATABASE.
Et c’est ici qu’intervient VTP : VLAN Transfert Protocol. Ce protocole propriétaire a un équivalent normalisé : MRP.
L’idée est simple : dans un réseau local, un seul switch (le serveur) connait les VLANs utilisés, les autres switches vont apprendre ces VLANs grâce au protocole VTP.
Si on veut par exemple ajouter un VLAN, il suffit de mettre à jour la VLAN DATABASE dans le switch serveur. C’est très bien, tant que le switch serveur fonctionne. Mais s’il est en panne je fais quoi ? Et bien, dans ce cas, je configure un serveur de secours... Oui, mais s'ils marchent tous les deux, lequel a raison ? Ah, mais c’est qu’on a pensé à tout : il y a un numéro de version de la VLAN DATABASE qui sert à choisir la plus à jour.
Tout cela est très bien, sauf que … Si Gaston branche un switch dont la VLAN DATABASE porte un numéro de version supérieur à celle du serveur, le LAN récupère la VLAN DATABASE du switch de Gaston. On peut parier que le LAN ne va plus bien marcher.
Du coup, VTP utilise un paramètre « vtp domain», assorti d’un « vtp password », qui permet d’éviter un tel accident. Certes, cela devrait éviter beaucoup d’accidents mais ce n’est pas suffisant pour prévenir une attaque...
Conclusion : avec VTP, pour éviter les accidents, il faut définir un « domain name ». Seuls les naïfs feront confiance au « vtp password »...
Une bonne pratique est de ne pas utiliser VTP. Pour cela, il faut configurer VTP en mode off (si disponible), ou sinon en mode transparent.
En l’absence de VTP, il faut bien sûr configurer les VLANs dans chaque switch du LAN.
Nota : avec le mode transparent, les « extended VLAN » sont accessibles. En clair, on peut utiliser des numéros de VLAN entre 1 et 4095.
Vos remarques, questions et autres interventions sont les bienvenues.
Pascal Bonnard
les articles de la série "Ethernet" :
Ethernet, un niveau à ne pas négliger
Les attaques « classiques » : interception de trafic, dénis de service
A éliminer d’urgence : DTP
Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres
Les VLANs pour les Nuls : VTP / MRP
Les boucles et les tempêtes : STP et comment s’en dispenser
L’art d’en dire trop : CDP et LLDP
Incroyable, mais vrai : CTP loopback
A utiliser sans (trop) d’ illusions : LAG (PaGP, LACP)
Conclusion, la configuration ultime pour mes switches
Depuis 2004, je m’occupe d'ingénierie de commutateurs Ethernet (switches en anglais). Comme je suis curieux de nature, j'ai voulu savoir ce qu'il y avait sous le capot ... et c'est là que j'ai vu tous ces protocoles qui ne nous veulent que du bien, mais qui posent d'inévitables questions de sécurité. Sont-ils fiables ? Peuvent-ils être trompés ? Il me semble que ce domaine est peu documenté, et que les informations disponibles sont souvent incomplètes, parfois erronées. Je désire vous faire partager mes connaissances qui s'appuient sur des tests en laboratoire ainsi que sur plusieurs centaines de machines opérationnelles.