DTP é habilitado por default (ISL -> Dot1q -> access).
DTP representa uma possível falha de segurança uma vez que devemos saber o destino de cada porta (trunk ou access).
Procure SEMPRE configurar a porta explicitamente como trunk ou access.
ISL
802.1q
OBS: TRUNK ON != TRUNK + DTP OFF (nonegotiate) -> desabilita um overhead de negociação de milissegundos, geralmente usado para aplicações com baixíssimo tempo de convergência.
Uma falha de convergência pode ocorrer caso configure em um lado “dynamic auto” e no outro “trunk + nonegotiate”. Neste caso um lado trunk habilitado enquanto do outro terá acesso e irá descartar os frames encapsulados, porém o switch que encaminha não sabe disso.
Permite centralizar a administração dos atributos das VLANs (somente a administração).
Simplifica a administração, mas não vale a pena pelos problemas que pode causar.
VTP por default usa domínio NULL e se receber um pacote com domínio em uma interface trunk herdará o novo domínio. Isso representa outra falha de segurança porque um SW não autorizado pode aprender sobre todas as VLANs na rede.
Autenticação é habilitada por default mesmo com a password não configurada. O que importa é o MD5.
O revision number altera cada vez que uma VLAN é adicionada ou deletada. Portanto, para forçar a sincronia podemos adicionar ou deletar VLANs ou derrubar o link.
Modos:
Reduz replicação desnecessária de broadcasts, unknown unicasts e unknown multicasts (unknowns são encaminhados da mesma forma que broadcasts).
Peers perguntam aos vizinhos “quais VLANs vocês tem configuradas?” e “quais VLANs você está no caminho?”. Os vizinhos respondem as listas para as duas solicitações.
Prune eligible list — por default todas as VLANs padrão (2–1001) estão na eligible list. VLANs que não estão na eligible list NÃO podem ser prunadas. É exatamente o oposto da “trunk allowed list”.
VTP é proprietário e, portanto, em ambiente multivendor é recomendado modo transparent.
OBS: Se estiver usando Pruning e conectar um dispositivo que não suporta VTP através de um trunk, o switch não receberá request de pruning. Com isso o switch repassa no uplink que ele precisa de todas as VLANs e todos os switches neste caminho repassam a necessidade. Portanto qualquer equipamento que não suporta VTP e seja conectado através de um trunk estraga tudo que o VTP Pruning tenta otimizar. Para corrigir este cenário, limite as VLANs na trunk allowed list e o VTP assume que o resto pode ser “prunado”.
OBS: Qualquer equipamento no mesmo domínio e com um número de revisão mais alto, quando conectado ao domínio irá modificar a database dos outros SWs (ataque simples).
Modo Transparent (na teoria):
OBS: na prática o modo transparent não encaminha pacotes de domínios diferentes além do DTP ainda bloquear o trunk.
Não é possível utilizar o modo transparent em uma topologia com pruning porque o SW transparent encaminhará as mensagens de pruning nos demais trunks e os neighbors irão prunar tais VLANs nestes trunks, interrompendo a comunicação nelas.
Corrige problema de segurança relacionado a sobrescrever o número de revisão através do uso de primary/secondary servers. Para realizar qualquer alteração primeiro precisa promover o SW para “primary” (evitando acidentes). Isto separa a função de “server” e “atualizador temporário”.
“New advertisements” tornam a administração mais fácil:
#vtp primary-server [vlan|mst] — Usa modo exec para promover SW para primary no modo “vlan” (normal) ou “mst” permitindo topologias lógicas diferentes. EX: SW pode ser server para “vlan” e client para “mst”.
#show vtp status — Mostra as features para “vlan” e “mst”. Se “primary ID” é 0000.0000.0000, não existe primary server na rede.
SVI mostra “protocol down” quando não há uma instância de STP para a VLAN.
Quando não possui “default gateway” configurado, o SW manda ARP para tudo. Se algum router nas VLANs estiver usando proxy-arp pode confundir o comportamento e testes porque responde com seu próprio ARP. Ficar atendo com MACs repetidos.
A escolha entre SVI e Native L3 depende basicamente da topologia. Além do que interfaces nativas L3 convergem mais rápido porque não precisam esperar o STP convergir primeiro.
OBS: Etherchannel é o nome patenteado da Cisco para “NIC teaming”. Nic teaming é a agregação de portas de acesso para servidores (L2).
Modos de Etherchannel
Novamente, a vantagem de não usar negociação é convergir mais rápido. A desvantagem é não prevenir contra falhas de configuração.
Load balance
Se uma interface está sendo muito mais utilizada do que as outras, obviamente é porque o load balance não está adequado.
Interfaces membras do channel precisam ter a mesma configuração principal.
Sempre configure o channel com as interfaces DOWN para evitar falhas na negociação que podem gerar loops L2.
Não tem como saber qual o caminho L1 o fluxo está percorrendo no channel porque todos os MACs e o STP apontam para o channel. O que conseguimos verificar é a utilização dos links.
OBS: Ao realizar alterações em um channel, altere a interface lógica e as interfaces membras todas ao mesmo tempo usando “range”.
OBS: Quando o channel é criado, ele herda o “tipo de interface” das interfaces membras (L2, L3, Trunk ou Tunnel). Se mudar o tipo de interface (ex: L2-> L3) sem mudar o channel, elas são retiradas do bundle (…e tá feita a cagada). Portanto SEMPRE especifique o tipo de interface corretamente antes de adicionar ao channel.
Criado para oferecer serviço VPN over Ethernet, geralmente utilizado em ambientes Metro Ethernet. É uma versão “light” de MPLS VPN.
PE adiciona um tag 802.1q adicional para todos os frames recebidos do CE, chamado “metro tag” ou “QinQ”. Portanto para o SP cada cliente estará dentro de uma única VLAN e não permite que as VLANs se comuniquem porque cada uma tem sua própria MAC table.
Obviamente todos os links para o CE devem ser configurados manualmente e todos os SWs do ISP devem conhecer a VLAN.
Principal problema dessa solução é não ser escalável porque a rede fim-a-fim toda do ISP precisa ser L2 trunking.
Segundo principal problema é que por ser L2, os SWs do ISP precisam conhecer os MACs de todos os end-hosts de todos os clientes. Obviamente isto também não escala.
Apenas os links para os CEs precisam ser Dot1q. Internamente a rede do ISP pode ser do1q ou ISL desde que seja L2 trunking fim-a-fim.
Terceiro principal problema é que usam TAG L2 de 4 bytes. Portanto se a MTU interna do ISP é de 1500 bytes, a MTU do cliente deve ser 1496 bytes. Como ethernet não suporta fragmentação, se o cliente encaminhar frames com MTU padrão (1500 bytes), eles serão descartados.
SWs utilizando “QinQ” descartam pacotes de control plane dos CEs (CDP, VTP, STP, etc) porque eles usam MACs especiais que não são permitidos.
Utilizado tipicamente para resolver a questão acima com “QinQ”, codificando os protocolos de control plane dentro de um MAC específico.
Protocolo proprietário Cisco.
Geralmente não há motivos para usar isso sem “QinQ” mas tecnicamente podemos fazer um tunnel L2 de protocolos tornando os SWs no caminho transparentes.
QinQ não funciona legal caso a VLAN de acesso para algum cliente seja a mesma VLAN nativa de um trunk. O resultado é que o switch não adiciona o TAG e vaza o pacote do cliente (com as TAGs de VLAN) na rede interna do SP. Então as VLANs internas do cliente vazam para as VLANs de acesso dos outros clientes (com respectivos números). Solução para isso é habilitar TAG de vlan nativa no ISP.
L2 protocol tunneling permite tunnelar etherchannels. Usado geralmente quando se precisa de mais banda do que o ISP oferece com 1 interface. O channel deve ser específico fim-a-fim, do contrário causa loop L2 e portanto precisa de uma VLAN separada para cada interface fim-a-fim membra do channel.
Eleição da Root Bridge se baseia na melhor Bridge Identifier
Eleição da Root Port:
Eleição da Designated Port:
Todas as outras portas entram em blocking (BLK) mode.
OBS: Fora a eleição do Root, quase todo o resto pode ser ajustado através do custo.
OBS: É através do sys-id-ext que o SW identifica a VLAN de uma BPDU.
Hello
MaxAge
Forward Delay
Timers são ajustados pela Root bridge
Tempo de convergência default é 50 seg (20s + 15s +15s).
Para adicionar um comentário aqui, tem de ser um utilizador registado. Se já se registou, inicie a sessão. Se ainda não se registou, faça-o e inicie a sessão.
Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.
Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.