9 Virtual Local Area Network 1 Tổng quan
9.4 Virtual Trunking Protocol 1 Tính dễ bị tổn thương
VTP là 1 giao thức thông điệp tại lớp 2 của Cisco, được sử dụng để phân phối thông tin cấu hình vượt qua Trunk. VTP cho phép sự thêm vào, xóa và thay đổi tên của VLAN trên mạng mở rộng. Nơi mà cho phép những Switch có 1 sự cấu hình VLAN phù hợp trong cùng 1 miền VTP. Tất cả Switch trong cùng 1 miền quản lý chia sẽ thông tin VLAN, và 1 Switch có thể tham gia chỉ trên 1 miền VTP quản lý.
Một Switch có thể ở 1 trong 3 mode sau: Server, Transparent, và client. Một Switch ở mode Server bắt đầu sự cấu hình VTP VLAN cho những Switch khác để sử dụng. Ở mode Server, nhà quản trị có thể tạo, sửa và xóa VLAN cho miền quản lý entrie VTP. VTP Server quảng bá sự cấu hình VLAN đến những Switch khác trong cùng 1 miền VTP và đồng bộ cơ sở dữ liệu của chúng. Một Switch ở mode Transparent nhận và chuyển gói tin VTP nhưng nó không bắt nguồn từ nó. Một Switch ở bất kỳ mode nào có thể tham gia vào VTP Pruning, mà nó kìm hãm việc trao đổi các gói tin VTP trên những port được chọn lựa.
Mặc định, các Switch chia sẽ thông tin VLAn mà không cần chứng thực. Do đó, những cài đặt VLAN không đúng có thể phát tán vượt ra ngoài 1 miền VTP. Để giải quyết vấn đề này, các Switch khi tham gia vào VTP đều mặc định ở mode Server và 1 Server với chỉ số Revision cao hơn thay thế cho một cái với chỉ số thấp hơn. Nó thì hoàn toàn có thể chỉ là 1 Switch đơn lẻ mà đã trải qua 1 con số khảo sát VTP đầy đủ, để 1 cách hoàn toàn chép đè lên hoặcloại trừ tất cả sự phân công VLAN trong 1 mạng hoạt động bằng việc chỉ kết nối nó đến mạng. Như 1 cuộc tấn cống sẽ không cần thiết phải có ý xấu, chỉ đơn giản là di chuyển 1 lab Switch đến 1 mạng đang hoạt động thì có thể gây ra sự ảnh hưởng này Mặc định miền quản lý VTP được cài đặt để là tăng chế độ an toàn mà không cần 1 password. Nó thì có thể làm giảm việc ghi đè nguy hiểm với sự bảo vệ bằng password. Một khách hang kiểm tra password trước khi thực thi việc cấu hình 1 VLAN mà nó nhận bằng VTP. Password không được mã hóa hoặc làm che đậy thong tin trong VTP. Cấu hình VTP với password chỉ để đảm bảo rằng các thong điệp được chứng thực.Một kẻ tấn công với 1 nhà phân tích mạng có thể dễ dàng giành được kiến thức của cấu trúc VLAN từ mạng cục bộ. Password vẫn có thể bị hash với những thông tin và nó thật khó để phân tích password từ những traffic mạng khác được chọn lọc.
9.4.2Giải pháp
Nó thì thật rõ ràng rằng VTP rất đơn giản cho việc quản trị, một cách đặt biệt nơi mà 1 lượng lớn VLAN được triển khai, VTP khá nguy hiểm khi nó được sử dụng vì sự chán nản. Nếu có thể, hãy tắt VTP bằng việc sử dụng câu lệnh
Switch(config)# no vtp mode Switch(config)# no vtp password Switch(config)# no vtp pruning
Nếu VTP là cần thiết, thì hãy xem xét việc cài đặt theo ví dụ sau. Cài đặt một miền quản lý VTP thích hợp. Tất cả Switch trong cùng 1 miền quản lý chia sẽ thông tin VLAN. Một
Switch chỉ có thể tham gia vào 1 miền quản lý VTP. Sử dụng câu lệnh sau để tạo 1 miền VTP:
Switch(config)# vtp domain test.lab
Đăng ký 1 password mạnh cho miền quản lý VTP. Tất cả Switch trong cùng một miền nên đăng ký cùng 1 password. Diiều này ngăn cản việc những Switch không được cấp quyền gắn vào miền quản lý VTP và thay đổi thông tin không chính xác về VLAN. Sử dụng sự bảo vệ trên miền VTP như ví dụ sau:
Switch(config)# vtp password g00d-P5WD
Enable VTP pruning and use it on appropriate ports. By default, VLANs numbered 2 through 1000 are pruning-eligible.
Bật VTP pruning và sử dụng chúng trên nhưng port thích hợp. Mặc định những VLAN được đếm từ 2 đến 1000 là prunning-eligible
Switch(config)# vtp pruning Cài đặt VTP ờ mode transparent với lệnh sau
Switch(config)# vtp transparent