VTP или не VTP — вот в чем вопрос...

egak473

Привет, ребята! Только что приступил к работе над этим проектом и подумал, что, черт возьми, давайте попробуем получить дополнительные отзывы на случай, если мы что-то упустили. См. приложение. Изначально этот проект представлялся как стандартное обновление коммутаторов. После сбора данных и исследования мы заметили, что в этой сети был включен VTP. Как вы можете видеть в приложении, большинство коммутаторов настроены как «серверы», несколько — как «прозрачные», и один — как «клиент». Вопрос
: после этого открытия мы хотим не только обновить их коммутаторы, но и оптимизировать конфигурацию сети для всех их коммутаторов. Обычно мы не рекомендуем VTP, так как видели сложные ситуации, когда кто-то подключает неправильный коммутатор к сети и все перестает работать. Есть ли какие-либо рекомендации на основе предоставленной информации? Версия VTP в настоящее время — 1.

Joseph W. Doherty

Лично я, в те времена, когда домены L2 были повсеместны (сегодня, с коммутаторами L3, в идеале набор VLAN должен быть известен только отдельному пограничному коммутатору L3 или одному пограничному коммутатору L2 и его вышестоящему коммутатору L3 distro/core), я любил VTP за то, что он обеспечивал согласованность VLAN и имен VLAN в домене VTP. Да, если вы не знаете, как использовать VTP, или были небрежны в его использовании, это может сжечь вашу сеть (я видел, как это происходило [хотя в тот раз это был не я]). Я согласен с
@Dustin Anderson
и
@Jens Albrecht
: то, что вы написали, не вызывает большого доверия к тому, как VTP использовался ранее. Если вы обновляете коммутатор, возможно, вам следует также подумать об обновлении архитектуры топологии сети. Если нет, то, продолжая использовать VTP, вы могли бы рассмотреть возможность перехода на VTPv3, поскольку он разработан таким образом, чтобы избежать большинства, если не всех, распространенных способов «случайного» вызова сетевых проблем при использовании VTP. Однако это серьезное изменение. Если вы хотите остаться на VTP v1 или v2 (между ними мало различий), постарайтесь использовать его правильно (например, как и в случае с устройствами VTP с разными номерами ревизий!) и «лучше» (например, избегая использования нулевого доменного имени VTP и используя пароль VTP [пароль не столько для «безопасности», сколько для того, чтобы гарантировать, что вы потратили время на настройку VTP для присоединения к домену VTP, который вы действительно хотите]). Что касается обрезки VTP, если я правильно помню, если у вас есть что-то вроде SW1 (используются порты VLAN 1,2,3) <trunk>SW2 (используются порты VLAN 1,3), VLAN 2 будет обрезан с trunk (хотя и не сразу, VTP должен это выяснить). Однако, если я правильно помню, если у вас есть что-то вроде SW1 (используются порты VLAN 1,2,3)<trunk>SW2 (используются порты VLAN 1,3)<trunk>SW3 (используются порты VLAN 1,2,3), VLAN 2 все равно будет удалена, потому что транзитный коммутатор не назначает ей порт. В VTP v1 и v2 единственное реальное различие между режимами «клиент» и «сервер» заключается в том, что последний позволяет вручную изменять конфигурацию VLAN. То есть «клиент» вне сети, попавший в домен VTP с более высоким номером ревизии, изменит всю топологию VTP, чтобы она соответствовала ему! Если у вас есть более одного активного сервера VTP (опять же, v1 или v2) и изменения вносятся на обоих одновременно, возникает «гонка» по поводу того, как обновляются другие узлы VTP. То есть коммутаторы, показывающие один и тот же номер ревизии, могут не соглашаться, и/или одно из обновлений сервера может быть полностью стерто другим сервером. По сути, когда вы начинаете разбираться в том, как функционирует VTP v1 или v2, не используя его должным образом, довольно легко испортить свою сеть L2. (Именно поэтому VTP имеет такую плохую репутацию. Дело не столько в том, что он не работает так, как должен, сколько в том, что очень легко [опять же, версии 1 или 2] вызвать проблемы тем, как вы его используете). Кстати, в вашем PDF-файле вы указываете большинство коммутаторов как «2960/3750». Обычно 2960 считается коммутатором L2 (некоторые модели поддерживают очень ограниченную маршрутизацию), а 3750 — коммутатором L3 (хотя поддерживаемые им протоколы L3 сильно зависят от используемой функции IOS). Серия 3750 также может быть установлена в стек, как и некоторые модели серии 2960. Я упоминаю об этом, потому что даже с этими очень старыми коммутаторами, возможно, не было необходимости иметь много коммутаторов L2 для управления VLAN, для чего и был разработан VTP. Т. е. снижается потребность в управлении VLAN на многих коммутаторах L2, и потребность в VTP уменьшается. Наконец, если вы не используете VTP, в более поздних реализациях установите режим «off» (выкл.), а не «transparent» (прозрачный).

Dustin Anderson

Итак, у нас возникли проблемы с VTP-обрезкой VLAN, которые использовались на коммутаторе. У нас есть около 150 стеков коммутаторов, в общей сложности более 500 коммутаторов, и мы перешли на ручную настройку магистралей. Глядя на беспорядок, в который вы попали, я могу сказать, что тот, кто над этим работал, не знал VTP и настроил коммутаторы как серверы, чтобы они могли конфигурировать VLAN. Я действительно не вижу другой причины, по которой все было настроено как сервер. Теперь, если вы хотите сохранить VTP, я бы, вероятно, сделал ядро вашим сервером и, возможно, настроил второй как резервный, а остальные как клиенты. Если вы хотите использовать VTP и имеете достаточно низкие VLAN, вы можете сделать «no vtp pruning», но это поместит каждый VLAN повсюду, даже если он не вызван.

Jens Albrecht

Здравствуйте,
@egak473
, судя по вашим данным, у большинства коммутаторов вообще нет доменного имени, а ваш домен № 1 показывает 4 разных значения, касающихся ревизии конфигурации, чего не должно быть, если все настроено правильно. Моя рекомендация по поводу VTP очень проста: просто не используйте его! Учитывая текущее состояние вашей сети, отказ от VTP не должен вызвать больших проблем, повысит безопасность и сделает работу сети более надежной и предсказуемой. Надеюсь, это поможет!

David Ruess

Здравствуйте, Многие люди выступают против VTP из-за его разрушительного характера, о котором вы упомянули. Как и в случае с любой технологией, ответ всегда зависит от конкретной ситуации. Вам необходимо оценить свою среду и решить, что лучше всего подходит для вас. Я был частью многих организаций, которые использовали VTP без каких-либо проблем, так что это возможно. При этом VTPv3 прошел долгий путь, чтобы обеспечить аутентификацию и работу основного и резервного серверов. Это помогает предотвратить разрушительное воздействие VTP, как это было раньше, и ошибочные коммутаторы стали меньшей проблемой (в любом случае для VTP — если кто-то подключает неавторизованные коммутаторы к вашей сети, я бы быстро решил эту проблему). Что касается решения вопроса о необходимости VTP, задайте себе несколько вопросов: Есть ли у меня большой домен L2, где VTP был бы полезен, или у меня есть несколько коммутаторов, которые можно добавить вручную, и это не составляет большого труда? Хочу ли я избавиться от VLANS и перейти на L3 на уровне доступа, как с SDA?
(даже если это в конечном итоге, поскольку речь идет об оптимизации). Хочу ли я использовать автоматизацию и есть ли у персонала все необходимое для ее внедрения?
Как я уже упоминал, я работал в нескольких организациях, и автоматизация была практически невозможна из-за ограничений по персоналу или недостаточной подготовки сотрудников. Никто не знал, как это сделать, или не имел достаточных знаний, чтобы двигаться в этом направлении. Я не думаю, что когда-либо стану человеком, который говорит «никогда не используйте эту технологию», скорее, каждая технология имеет свое место, но вам также не нужно использовать каждую технологию. -Дэвид

egak473

Спасибо всем за ваши отзывы! Обновление: мы поговорили с клиентом об их текущей сетевой конфигурации и последствиях использования VTP. Похоже, что с годами, по мере роста их организации, они копировали и вставляли конфигурацию из производственного коммутатора (настроенного как сервер VTP) и развертывали новый коммутатор в новом месте, не really зная, что они делают. Из-за текучки IT-персонала и ограниченности знаний была создана тикающая бомба замедленного действия. Они готовы обсудить меры по исправлению ситуации. Мы создаем заказ на изменение или предложение по очистке
архитектуры топологии
их
сети.

Scott Leport

Привет, Я опоздал, так что, без сомнения, решение уже принято, и вы получили все лучшие советы, которые только можно было получить. По моему мнению, если вы используете любую версию VTP, используйте версию 3. В противном случае не используйте ее и не участвуйте в ней. Если вам не нужно ежедневно массово добавлять или удалять VLAN (включая добавление и удаление VLAN на активных магистралях между восходящими каналами коммутатора), то нет никакой выгоды в использовании VTP.

egak473

@Scott Leport
Согласен. Клиент спросил нас, сколько раз мы сталкивались с подобными проблемами. Мы ответили, что не так часто. Это немного странно.
![]

paul driver

Здравствуйте.
Судя по этому выходному файлу, похоже, что vtp все равно не работает для большей части вашей сети. -
Как будто все номера ревизий для всех коммутаторов в каждом из их соответствующих доменов vtp были бы такими же, как у активного работающего избранного сервера vtp. В
будущем, если вы собираетесь обновить сеть LAN, вам нужно решить, нужен ли вам vtp - обратите внимание, что это проприетарная технология Cisco, поэтому, если вы предполагаете, что в будущем в вашей сети могут работать коммутаторы других поставщиков, vtp даже не будет применим к ним, честно
говоря. - Спросите себя, нужен ли вам VTP —
если он нужен только для динамического обновления всех коммутаторов при добавлении/удалении L2 VLAN, то я бы его не
использовал. Обрезка TRK — рекомендуется выполнять вручную, и это даже не нужно, если вы выбрали MST в качестве связующего дерева и решили использовать дизайн доступа L3, ни то, ни другое не потребуется! Пожалуйста, оцените и отметьте как принятое решение, если вы нашли какую-либо из предоставленной информации полезной.
Это поможет другим участникам форума найти ценный ответ и расширит глобальную сеть сообщества.
С уважением,
Пол