Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Crear un nuevo artículo
11279
Visitas
25
ÚTIL
1
Comentarios

VTP versión 3 | Historia, Implementación y buenas practicas.

Julio E. Moisa
VIP Alumni
VIP Alumni

‎06-24-2018 10:58 AM - editado ‎03-21-2019 05:43 PM

    MAIN.PNG

     

    Descripción de VTP

    Vlan Trunk Protocol o mejor conocido como VTP es un protocolo propietario de Cisco y es un protocolo de mensajería que trabaja en la capa 2.

    Fue desarrollado para poder propagar VLANs en Infraestructuras de capa 2 muy grandes. Básicamente mantiene la integridad de las VLANs y permite la propagación, eliminación o modificación de ellas de manera centralizada. En pocas palabras facilita a los administradores de redes el despliegue de VLANs en múltiples switches de una manera automática una vez configurados ciertos parámetros en cada switch.

    Por lo general y por buena práctica no se recomienda configurar VTP en un ambiente de switches, y de hecho se recomienda que cualquier switch debe ser configurado en modo transparente antes de ser instalado en la infraestructura de red; Ya que existen riesgos de seguridad e impacto en la red sino se configura adecuadamente. ¿Y por qué puede haber riesgo?:

    • Errores humanos
    • Falta de conocimiento del funcionamiento y parámetros de VTP.
    • Falta de conocimiento de la infraestructura de capa 2.

    En lo personal VTP me parece un excelente protocolo debido a que el despliegue de VLANs en múltiples switches se realiza en cuestión de segundos, VTP versión 3 viene ayudar a los administradores de red a mitigar errores humanos.

    Antes de proceder con la configuración de VTP versión 3, es importante conocer la información de VTP (tipos de mensajes, modos, versiones, parámetros de configuración), con la finalidad de mantener y retener una bitácora de como ha venido funcionando VTP durante los años.

     

    VTP y sus tipos de mensajes.

    • Summary Advertisements: Este tipo de mensaje es enviado a los switches vecinos para informar sobre el actual dominio y revisión de VTP. El switch que recibe el mensaje compara el dominio de VTP con la información local con la recibida, si el nombre del dominio VTP no coincide el paquete es ignorado de lo contrario se procede con la comparación de la revisión, si la revisión local es igual o mayor el paquete se ignora, de lo contrario el switch envía una solicitud (advertisement request).
    • Subset advertisement: Este tipo de mensaje contiene una lista actualizada de las VLANs. Cuando existe un cambio de VLAN (agregar, eliminar, modificar) en el VTP Server, la revisión se incrementa y un subset advertisement es enviado.
    • Advertisement request: Como vimos anteriormente cuando las condiciones se cumplen entre switches a través del mensaje Summary Advertisement el switch solicita información de VTP.
    • VTP join: Este tipo de mensaje es utilizado para realizar la propagación de VLANs entre el switch VTP Server y sus clientes una vez todas las condiciones (Dominio, Contraseña y Versión) se han cumplido.

    IMPORTANTE: Los mensajes de VTP únicamente serán transmitidos a través de interfaces Trunk.

     

    Modos de VTP independientemente la Versión.

    Los switches Cisco en un ambiente de VTP pueden funcionar en 4 modos:

    Server: Modo por defecto, cualquier Cisco switch totalmente nuevo viene configurado con el modo de VTP Server. El switch configurado en modo Server es el único:

    •  Encargado de propagar las VLANs a los switches configurados con modo Client
    • El único junto con el modo Transparent y Off, donde se pueden crear, eliminar y modificar VLANs
    • Comparte el MD5 Digest checksum para verificar la integridad de la comunicación. Una vez el VTP Server y los clientes han sincronizado, el MD5 Hash debe ser el mismo. Esto puede ser verificado a través del comando: show vtp status

    Client: Un switch configurado en modo no permite crear VLANs localmente y solamente instala en su base de datos (vlan.dat) las VLANs recibidas por el VTP Server; también las retransmite a otro switches vecinos conectados él.

     

    Transparent: Un switch configurado en este modo recibe las VLANs propagadas por el VTP Server, pero no participa en el proceso de VTP, tampoco incluye en su base de datos (vland.dat) las VLANs recibidas por el VTP Server, pero si tiene la habilidad para retransmitirlas a otros switches conectados a él. Un switch configurado en VTP Transparente permite agregar, eliminar y modificar VLANs localmente y funciona como un dispositivo de Transito.

     

    Off: Este modo es visto en los modelos más recientes de switches Cisco, un switch configurado en modo Off funciona igual que en modo Transparent, con la única diferencia que la información recibida por el VTP Server no es transmitida a los switches vecinos conectados a él.

     

     

    Conozcamos como ha ido evolucionando VTP.

    En la actualidad existen 3 versiones de VTP, de las cuales únicamente la versión 2 y 3 son implementadas mayormente en la actualidad.

     

    VTP versión 1:  

    • Es la versión por defecto en switches Cisco
    • No propaga las VLAN extendidas (1006 a 4094)
    • Soporta contraseñas tipo clear text y MD5

    VTP versión 2:

    • Similar a la versión 1
    • No propaga las VLAN extendidas (1006 a 4094)
    • Verifica la integridad del VTP
    • Soporta VLANs Token Ring
    • Puede retransmitir los mensajes de VTP a través de un switch configurado como VTP Transparente sin verificar la versión y/o dominio configurado.

    VTP versión 3:

    • Soporta las VLAN normales y extendidas (1 a la 4094)
    • Habilidad para esconder la contraseña de VTP
    • Habilidad para retransmitir los mensajes de VTP a través de VLAN Privadas
    • Ideal para propagar la configuración de Múltiple STP (MSTP) en varios switches de manera automática.
    • Protege las bases de datos de VLANs durante la instalación de un nuevo switch (aunque este venga configurado en modo default, Server) en la infraestructura.
    • Soporta sincronización con Remote SPAN VLANs.

    Parámetros de configuración o de funcionamiento para VTP.

    Revisión: Un switch en modo VTP Server debe mantener la revisión más alta mientras que otros switches deben mantener la revisión más baja, la cual es cero. De lo contrario esto puede generar estragos en una red. Resumiendo:

     

    Si el VTP Server cuenta con la revisión mayor y el resto de switches configurados como clientes tienen revisión 0, el único switch que propagará las VLANs será el.

     

    Si un cliente VTP tiene una revisión mayor al VTP Server y ambos están configurados apropiadamente, el VTP Cliente puede sobre escribir todas las VLANs y de esta manera toda la red se verá afectada.

     

    ¿Cómo puedo hacer que un switch cliente logre tener la revisión de cero? Como se mencionó previamente, antes de insertar un nuevo switch en una infraestructura de red ya establecida, se debe configurar el switch en modo Transparent, haciendo esto la revisión del actual switch cambia a cero, veamos un ejemplo con nuestro switch SW2:

     

    Nuestro switch SW2, está configurado como VTP Server, y tiene una revisión de 3.7.PNG

     

    Para hacer un reset y que dicha revisión sea la menor, debemos convertirlo a VTP modo Transparent:8.PNG

     

    Podemos observar que la revisión cambio a cero, recordemos cada vez que nosotros agreguemos, eliminemos o modifiquemos VLANs, la revisión se irá incrementando, por ello el VTP Server debe ser el único donde la revisión se incrementa.

     

    Domain: También conocida como dominio de administración de VLAN (VLAN management domain) Un switch solo puede pertenecer a un dominio. Los switches que tienen configurado el mismo dominio de VTP intercambia información.

     

    Sintaxis:

    Configure terminal

    VTP Domain <nombre del dominio>

    4.PNG

     

    Versión: Como lo vimos anteriormente, existen 3 modos de VTP, en nuestro articulo trabajaremos con la versión 3, la sintaxis de configuración siempre será la misma:

     

    Sintaxis:

    Configure terminal

    VTP versión <1-3>9.PNG

     

    Password: Todos los switches que deseen participar en el mismo dominio de VTP deben mantener una misma contraseña, esta información es convertida a MD5 y propagada a través de los mensajes tipo: summary advertisements

     

    Sintaxis (versión 1 & 2):

    Configure terminal

    VTP Password <nombre del dominio>5.PNG

     

    Para verificar la contraseña se puede ejecutar el comando: show vtp password6.PNG

     

    Sintaxis (versión 3):

    La configuración de la contraseña en VTP versión 3 es igual que las versiones anteriores, pero introduce 2 nuevos parámetros: secret y hidden.

    • Secret: Se debe configura la contraseña con 32 dígitos hexadecimales lo cual lo hace difícil de descifrar diferente a cuando tenemos texto plano (clear text).
    • Hidden: La contraseña no es guardada en el base de datos de VLANs (vlan.dat) sino que se crea una contraseña hexadecimal.

    Sintaxis:

    Configure terminal

    VTP Password <contraseña> <secret | hidden>

    Utilizando Hidden:

    10.PNG

     

    Utilizando Secret:11 secret.PNG

     

    Como podemos observar la contraseña no se puede configurar debido a que no contamos con 32 caracteres hexadecimales (0 - 9 y A – F) , intentémoslo de nuevo:12.PNG

     

    Podemos observar que si acepta una contraseña con 32 caracteres hexadecimales: ABC456789012345678901234567890DF

     

    Modo: El modo es utilizado para definir como trabajara el switch y hacer reset de revisión, la configuración entre las versiones es muy similar a excepción que en la versión 3 existen algunos cambios:

     

    Sintaxis (versión 1 & 2):

    Configure terminal

    VTP mode <Off, Transparent, Client y Server>

    Recordemos que por defecto los switches Cisco están configurados como VTP Server, adicional dominio es Null.

     

    Sintaxis (versión 3):

    • La configuración para Client, Transparent y Off es igual que en la versión 1 y 2, pero el modo Server cambia y más que todo para realizar la protección ante cualquier switch nuevo que fue instalado en la infraestructura sin realizar el cambio a Transparente previamente. Veamos cómo se configura un Switch en modo VTP Server para la versión 3:

    Se utilizan 2 comando para asegurar que un switch sea VTP Server:

     

    Sintaxis (versión 3) modo server:

    Configure terminal
    Vtp mode server

     

    exit

     

    Modo de usuario privilegiado:

    Vtp primary   (Este comando convierte al servidor como VTP Server Primario para las VLANs)

     

    • Posteriormente nos solicitara la contraseña previamente creada, en nuestro caso la contraseña de VTP es: YNH-Contrasena

    Veamos un ejemplo:13.PNG

     

    Si notamos el comando vtp mode server fue configurado en el modo de configuración global pero el comando: vtp primary fue configurado en el modo de usuario privilegiado.

     

    Lo interesante es que el switch protege la infraestructura capa 2 con un segundo comando y solicitando el ingreso de la contraseña de VTP.

     

    Adicional existe el parámetro force, este comando hace ver el contexto, fuerza a que el switch sea el VTP server primario si en tal caso queremos forzar que el switch sea el primario en lugar de otro switch.

     

    Revisemos si en realidad el switch es ahora VTP Server Primario:16.PNG

     

    Bingo! Nuestro switch SW1 es ahora el VTP Server Primario.  

     

    Otro dato interesante en VTP versión 3, es que a pesar que podamos tener 2 o más switches en VTP Server y a pesar que ambos estén configurados con: vtp mode server, únicamente el VTP Server configurado como primario podrá agregar, eliminar o modificar VLANs, esto es un gran alivio para los administradores de redes, debido a que provee un alto grado de seguridad por ende ya no es necesario configurar un nuevo switch en modo transparente antes de instalarlo en la infraestructura de red.

     

    Recordemos, el VTP Server primario será el único que actualizará la base de datos y enviar actualizaciones a través de los mensajes de VTP a los dispositivos que sean parte del mismo dominio.  El VTP Server secundario únicamente podrá realizar respaldos de la información de VTP propagada por el VTP Server primario y los almacenará en la NVRAM.

     

    Configuremos el switch SW2 únicamente como VTP Server y tratemos de crear una nueva VLAN:

    14.PNG

     

    A simple vista el switch SW2 es un VTP Server, pero ¿Que sucede cuando creo una nueva VLAN?15.PNG

     

    No puedo crear una nueva VLAN debido a que no es un switch VTP Server Primario.

     

    Configuraciones y Verificación de los switches

    Hemos configurado el switch SW1 como VTP Server Primario y el switch SW2 como VTP Server “secundario” (solo puede existir un VTP Server Primario por dominio), pero recapitulemos la configuración:

     

    SW1

    Paso 1) Cambiar la versión de VTP a 3

    Configure terminal
    vtp version 3

     

    Paso 2) Agregar una contraseña de VTP

    Configure terminal
    vtp password <contraseña> <hidden | secret>

     

    Paso 3) Agregar un dominio de VTP

    Configure terminal
    vtp domain <nombre del dominio>

     

    Paso 4) Configurar el switch en modo VTP Server

    Configure terminal
    vtp mode server

     

    Paso 5) En modo de usuario privilegiado configurar el switch como VTP Server primario para las VLANs.

    # vtp primary (force opcional)

     

    Verificación:

    Show vtp status16.PNG

     

    Una vez configurado del switch primario podemos comenzar a crear las VLANs que serán propagadas a través de los enlaces trunk.17.PNG

     

    Observemos que sucede cuando se agregan nuevas VLANs

    17-5.PNG

     

    El número de VLANs aumentan, pero también el valor de la revisión.

     

    Procedemos con la configuración del switch de Respaldo o switch VTP Server Secundario:

     

    SW2

    Paso 1) Cambiar la versión de VTP a 3

    Configure terminal
    vtp versión 3

     

    Paso 2) Agregar una contraseña de VTP

    Configure terminal
    vtp password <contraseña> <hidden | secret>

     

    Paso 3) Agregar un dominio de VTP

    Configure terminal
    vtp domain <nombre del dominio>

     

    Paso 4) Configurar el switch en modo VTP Server

    Configure terminal
    vtp mode server

     

    Verificación:

    Show vtp status18.PNG

     

    Podemos observar que el switch SW2 está configurado como Server pero no como primario, también podemos observar que no tiene ninguna VLAN creada (Number of existing VLANs) únicamente por la de defecto (1, 1002-1005)

     

    La falta de VLANs es debido a que hace falta configurar los enlaces troncales entre los switches para que fluyan las actualizaciones de VTP. Recordemos que los mensajes de VTP seran propagados a traves de los enlaces trunks entre switches.

     

    SW119.PNG

     

    SW220.PNG

     

    SW321.PNG

     

    Verifiquemos el estado de VTP en SW222.PNG

     

    Podemos observar que SW2 ya sincronizo su información de VTP con SW1 y ha comenzado a  recibir el resto de las VLANs.

     

    Ahora configuremos a SW3 como nuestro cliente:

     

    SW3

    Paso 1) Cambiar la versión de VTP a 3

    Configure terminal
    vtp versión 3

     

    Paso 2) Agregar una contraseña de VTP

    Configure terminal
    vtp password <contraseña> <hidden | secret>

     

    Paso 3) Agregar un dominio de VTP

    Configure terminal
    vtp domain <nombre del dominio>

     

    Paso 4) Configurar el switch en modo VTP Cliente

    Configure terminal
    vtp mode client

     

    Verifiquemos la configuración:23.PNG

     

    Podemos observar que también SW3 ha recibido la información del VTP Servidor Primario, cabe mencionar que todos los switches que son clientes y servidores secundarios heredan el valor de la revisión del VTP Servidor Primario.  La propagación ha sido un éxito.

     

    Troubleshooting

     

    A continuación, comparto algunos comandos que pueden ser de utilidad en el momento de hacer troubleshooting:

     

    Show vtp status

    Show vtp domain

    Show vtp password

    Show vtp devices conflicts

     

    Ahora bien, muy importante y esto nos puede ayudar a identificar problemas en la comunicación entre los switches clientes con el VTP Server Primario, observemos lo siguiente:

    24.PNG

     

    Notemos que los 3 switches manejan el mismo MD5 Hash, esto indica que en efecto hay una sincronización. Esto aplica para la versión 1 al 3.

     

    Como el MD5 hash es calculado con el dominio y la contraseña de VTP, fácilmente podemos identificar si existe algo malo en esos parámetros previamente ingresados. En la versión 3 si un parámetro es ingresado de manera incorrecta, no aparece ningún MD5 hash en el show vtp status.

    Comentarios
    Kn1ghtR1d3rOfD00m
    Level 1
    Level 1
    ‎06-24-2018 09:28 PM

    Muchas gracias por compartir tremendo articulo, muy bien detallado como funciona la nueva versión de VTP y sus comparaciones y similitudes con las versions 1 y 2.

     

    Me quedó mas clara la idea después de ir revisando los ejemplos con las imágenes y los detalles paso a paso.

     

    Muchas gracias por seguir aportando a la comunidad, esperamos que siga así, 

     

    Ya lo agregué a mis favoritos :) 

     

     

    Vamos a comenzar

    ¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

    Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

    Navegue y encuentre contenido personalizado de la comunidad

    Videos de R&S Blogs de R&S Eventos Archivados de R&S
    Customers Also Viewed These Support Documents