Mặc định switch Cisco dùng chế độ server VTP nhưng switch sẽ không gửi các cập nhật VTP cho đến khi nào nó được cấu hình thông tin về tên miền VTP. Ở thời điểm này, server bắt đầu gửi các cập nhật VTP với các phiên bản cơ sở dữ liệu khác nhau và các chỉ số revision number khác nhau khi có thông tin cấu hình cơ sở dữ liệu VLAN thay đổi. Tuy nhiên, các switch hoạt động chế độ client VTP thật sự không cần phải được cấu hình tên miền VTP. Nếu không được cấu hình, client sẽ giả sử nó sẽ dùng tên miền VTP trong gói tin cập nhật VTP đầu tiên mà nó nhận được. Tuy nhiên, client vẫn cần phải cấu hình các chế độ hoạt động VTP. Khi cấu hình VTP, để tăng tính dự phòng, các hệ thống mạng dùng tối thiểu hai switch hoạt động chế độ server VTP. Trong điều kiện bình thường một sự thay đổi về VLAN có thể chỉ thực hiện trên switch ở chế độ server và các server khác sẽ cập nhật sự thay đổi này. Sau khi cập nhật xong, server VTP sẽ lưu các thông tin các thông tin cấu hình VLAN thường trực ( ví dụ như trong NVRAM ) trong khi client không lưu thông tin này.
Việc hỗ trợ nhiều server VTP gây ra một khả năng khác là việc vô tình thay đổi cấu hình VLAN của hệ thống mạng. Khi một switch hoạt động ở chế độ client VTP hoặc một transparent VTP kết nối lần đầu vào một hệ thống mạng thông qua kết nối trung kế, nó không thể ảnh hưởng đến các cấu hình hiện tại bởi vì các chế độ hoạt động này không thể tạo ra các gói tin cập nhật VTP. Tuy nhiên, nếu một switch mới hoạt động ở chế độ VTP server được gắn vào mạng thông qua một kết nối trung kế, switch đó có khả năng thay đổi cấu hình VLAN của các switch khác bằng chính thông tin về VLAN của switch mới. Nếu switch mới có các đặc điểm sau, nó sẽ có thay đổi cấu hình các switch khác:
• Switch mới có cùng tên miền VTP
• Chỉ số revision number cao hơn các switch hiện có
• Nếu mật khẩu của miền VTP đã được cấu hình và mật khẩu của switch mới thêm vào giống với mật khẩu này.
Chỉ số revision number và tên miền VTP có thể lấy thông tin qua các phần mềm do thám. Để ngăn ngừa kiểu tấn công DoS dùng VTP, hãy cài đặt mật khẩu cho VTP. Mật khẩu này thường được mã hóa dạng MD5. Ngoài ra, vài nơi triển khai chỉ đơn giản dùng chế độ hoạt động của switch là transparent VTP trên tất cả các switch, ngăn ngừa switch khỏi việc lo lắng nghe các cập nhật VTP từ các switch khác.
2.3.4 Broadcast VTP
Mỗi Cisco switch tham gia vào VTP phải quảng bá số VLAN (chỉ các VLAN từ 1 đến 1005), và các tham số VLAN trên cổng trunk của nó để báo cho các switch khác trong miền quản lý. Quảng bá VTP được gửi theo kiểu muilticast. Switch chặn các frame gửi đến địa chỉ VTP multicast và xử lý nó. Các frame VTP được chuyển tiếp ra ngoài liên kết trunk như là một trường hợp đặc biệt.
Bởi vì tất cả switch trong miền quản lý học sự thay đổi cấu hình VLAN mới, nên một VLAN phải được tạo và cấu hình chỉ trên một VTP server trong miền.
Mặc định, miền quản lý sử dụng quảng bá không bảo mật (không có mật khẩu). Ta có thể thêm mật khẩu để thiết lập miền ở chế độ bảo mật. Mỗi switch trong miền phải được cấu hình với cùng mật khẩu để tất cả switch sử dụng phương pháp mã hóa đúng thông tin thay đổi của VTP.
Quá trình quảng bá VTP bắt đầu cấu hình với số lần sửa lại là 0. Khi có sự thay đổi tiếp theo, số này tăng lên trước khi gửi quảng bá ra ngoài. Khi swich nhận một quảng bá với số lần sửa lại lớn hơn số lưu trữ cục bộ thì quảng bá sẽ được ghi đè lên thông tin VLAN, vì vậy thêm số 0 này vào rất quan trọng. Số lần sửa lại VTP được lưu trữ trong NVRAM và switch không được thay đổi. Số lần sửa lại này chỉ được khởi tạo là 0 bằng một trong cách sau:
• Thay đổi chế độ VTP của switch thành transparent, và sau đó thay đổi chế độ thành server.
• Thay đổi miền VTP của switch thành tên không có thực (miền VTP không tồn tại) và sau đó thay đổi miền VTP thành tên cũ.
• Tắt hay mở chế độ pruning (cắt xén) trên VTP server.
Nếu số lần sửa lại VTP không được thiết lập lại 0, thì một server switch mới, phải quảng bá VLAN không tồn tại, hoặc đã xóa. Nếu số lần sửa lớn hơn lần quảng bá liền trước, thì switch lắng nghe rồi ghi đè lên toàn bộ sơ sở dữ liệu của VLAN với thông tin trạng thái VLAN là null hoặc bị xóa. Điều này đề cập đến vấn đề đồng bộ VTP.
Việc quảng bá có thể bắt đầu khi yêu cầu từ switch (client-mode) muốn học về cơ sở dữ liệu VTP ở thời điểm khởi động, và từ switch (server-mode) khi có sự thay đổi cấu hình VLAN. Việc quảng bá VTP có thể xảy ra trong ba hình thức sau:
• Thông báo tổng kết (Summary Advertisement): các server thuộc miền VTP gửi thông báo tổng kết 300s một lần và mỗi khi có sự thay đổi sơ sở dữ liệu của VLAN. Thông tin của thông báo tổng kết gồm có miền quản lý, phiên bản VTP, số lần sửa lại cấu hình, đánh dấu thời gian (timestamp), mã hóa hàm băm MD5, và số tập con của quảng bá đi theo. Đối với sự thay đổi cấu hình VLAN, có một hoặc nhiều tập con quảng bá với nhiều dữ liệu cấu hình VLAN riêng biệt trong thông báo tổng kết :
Bảng 2.2: Bảng thông báo tổng kết broadcast VTP
• Thông báo tập hợp con (Subset Advertisement): các server thuộc miền VTP quảng bá tập con sau khi có sự thay đổi cấu hình VLAN. Thông báo này gồm có các thay đổi rõ ràng đã được thực thi, như tạo hoặc xóa một VLAN, tạm ngưng hoặc kích hoạt lại một VLAN, thay đổi tên VLAN, và thay đổi MTU của VLAN (Maximum Transmission Unit). Thông báo tập con có thể gồm có các thông số VLAN như: trạng thái của VLAN, kiểu VLAN (Ethernet hoặc Token Ring), MTU, chiều dài tên VLAN, số VLAN, giá trị nhận dạng kết hợp với bảo mật SAID (Security Association Identifer), và tên VLAN. Các VLAN được ghi vào thông báo tập hợp con một cách tuần tự và riêng lẻ :
Bảng 2.3: Thông báo tập hợp con VTP
• Thông báo yêu cầu từ client: một client VTP yêu cầu thông VLAN như xác lập lại, xóa cở sở dữ liệu của VLAN, và thay đổi thành viên miền VTP, hoặc nghe thông báo
tổng kết VTP với số lần sửa lại cao hơn số hiện tại. Sau thông báo client yêu cầu, thì các server đáp ứng bằng thông báo tổng kết và thông báo tập con :
Bảng 2.4:
Các Catalyst switch (server-mode) lưu trữ thông tin VTP không liên quan đến cấu hình switch trong NVRAM VLAN và dữ liệu VTP được lưu trong file vlan.dat trên hệ thống file bộ nhớ Flash của switch. Tất cả thông tin VTP như số lần cấu hình lại VTP được lưu lại khi tắt nguồn điện của switch. Switch có thể khôi phục cầu hình VLAN từ cơ sở dữ liệu VTP sau khi nó khởi động.
2.3.5 VTP prunning
Như ta đã biết swit ch chuyển tiếp các frame broadcast ra tất cả các port sẵn có trong miền broadcast, còn các frame multicast thì được chuyển tiếp theo nghĩa thông minh hơn, nhưng cũng cùng một kiểu. Khi switch không tìm thấy địa chỉ MAC đích trong bảng chuyển tiếp thì nó phải chuyển frame ra tất cả các port để cố gắng tìm đến đích.
Khi chuyển tiếp frame ra tất cả các port trong miền broadcast hoặc VLAN, thì kể cả các port của trunk nếu có VLAN. Thông thường, trong mạng có một vài switch, các liên kết trunk giữa các switch và VTP được sử dụng để quản lý việc truyền thông tin VLAN. Điều này làm cho các liên kết trunk giữa các switch mang lưu lượng từ tất cả VLAN. Do đó VTP pruning sẽ sử dụng hiệu quả băng thông bằng cách giảm bớt việc lưu lương không cần thiết. Các frame broadcast hoặc các frame unicast không xác định trên một VLAN chỉ được chuyển tiếp trên liên kết trunk nếu switch nhận trên đầu cuối của trunk có port thuộc VLAN đó. VTP pruning là sự mở rộng trên phiên bản 1 của VTP, sử dụng kiểu message VTP bổ sung. Khi một Catalyst Switch có một port với một VLAN, thì switch gửi quảng bá đến các switch lân cận mà có port hoạt động trên VLAN đó. Các lân cận của nó sẽ giữ thông tin này để giải quyết nếu có lưu lượng tràn từ một VLAN có sử dụng port trunk hay không.
2.4 Inter VLAN Routing
VLAN là một trong những công nghệ không thể thiếu trong hệ thống mạng,các ưu điểm, giá trị mà nó mang lại là rất lớn. VLAN ra đời với mục đích chia nhỏ Broadcast domain thế nhưng lại phát sinh nhu cầu truy xuất dữ liệu giữa các VLAN với nhau thế nên khái niệm Inter-VLAN Routing ra đời nhằm mục đích định tuyến gói tin giữa các VLAN khác nhau. Cisco đưa ra 3 giải pháp định tuyến giữa các VLAN:
• Mỗi VLAN sẽ có một kết nối vật lý đến Router.
• Dùng một kết nối vật lý và các kết nối logic đến Router. (adsbygoogle = window.adsbygoogle || []).push({});
2.4.1 Dùng nhiều kết nối vật lý
Cách thức định tuyến này thì cần có một Router kết nối đến Switch để có thể định tuyến được các gói tin qua lại giữa các VLAN. Mỗi VLAN dùng 1 kết nối vật lý đến Router