VTP
· 약 9분
VLAN (Virtual Local Area Network)
- 컴퓨터 그룹을 별도의 네트워크로 논리적으로 분리하는 방법
- 일반적으로 일부 인터페이스를 하나의 브로드캐스트 도메인에 배치하고 일부 인터페이스를 다른 브로드캐스트 도메인에 배치하여 스위치에 구성됨
VTP (VLAN Trunking Protocol)
- VTP는 네트워크에서 VLAN 구성을 �관리하는 데 사용
- 워크스테이션이 DHCP 주소를 수신하는 것을 막지는 않음
VTP Mode
Server mode
- VLAN을 생성, 수정 및 삭제
- 전체 VTP 도메인에 대해 VTP 버전 및 VTP 프루닝 같은 다른 컨피그레이션 매개변수를 지정
- VLAN 컨피그레이션을 동일한 VTP 도메인의 다른 스위치에 광고
- 트렁크 링크를 통해 수신된 광고를 기반으로 다른 스위치와 동기화
- VTP 서버가 기본 모드
- 스스로 VLAN 설정 가능, 설정 내용을 다른 스위치로 전송
Client mode
- VTP 서버와 동일한 방식으로 작동
- VLAN을 생성, 변경 또는 삭제할 수는 없음
- 스스로 VLAN 설정 불가능
Transparent(투명) mode
- VTP에 참여하지 않음
- VLAN 컨피그레이션을 광고하지 않음
- 수신된 광고를 기반으로 VLAN 컨피그레이션을 동기화하지 않음
- VTP 버전 2에서 트렁크 포트를 수신하는 VTP 광고를 전달
- 스��스로 VLAN 설정 가능
Off(끄기)
- 다른 세 가지 모드에서 스위치가 관리 도메인 상태로 들어가는 즉시 VTP 광고가 수신되고 전송
- 스위치가 VTP 투명 모드와 동일하게 작동
- VTP 광고는 전달되지 않음
VTP Message
- VTP 패킷은 ISL(Inter-Switch Link) 프레임 또는 IEEE 802.1Q(dot1q) 프레임으로 전송
- 패킷은 AAAA(Subnetwork Access Protocol)의 LLC(Logical Link Control) 코드 및 SNAP 헤더의 2003 유형과 함께 대상 MAC 주소 01-00-0C-CC-CC-CC로 전송
- ISL 프레임으로 캡슐화되는 VTP 패킷의 형식
802.1Q
- VLAN의 프레임 태그 지정에 대한 표준
- 스위치 포트가 802.1Q 트렁크 포트로 구성되고 워크스테이션이 VLAN 태그 지정을 처리하도록 구성되지 않은 경우, 워크스테이션은 올바른 VLAN에 있지 않기 때문에 DHCP 주소를 수신하지 못할 수 있음
Summary Advertisement
- VTP server가 자신과 연결된 스위치에게 5분 주기로 전달하는 메시지
- 자신의 관리하는 VTP domain에 대한 Revision number를 전송
- 각 스위치들은 이러한 Revision number를 보고 자신의 VLAN 정보가 최신인지 아닌지를 구분
- VLAN 구성에 변화가 발생시에도 전송되는데 이 경우는 5분 주기가 아니라 변화 즉시 전송
Subset Adverisement
- VLAN 구성이 변경 되었을 때나 VTP client로부터 Advertisement Request를 수신했을 때 전송
- 실제 VLAN 정보를 담고 있는 메시지
Advertisement Request
- VTP client가 VTP server에게 Summary Advertisement 혹은 Subset Adverisement를 요청하는 경우 사용하는 메시지
- client가 자신이 가지고 있는 Revision number보다 높은 Revision number를 가지고 있는 Summary Advertisement를 수신하거나 VTP domain 변경, 스위치 리셋 등 여러 변화가 생겼을 경우 이 메시지를 VTP server에 전송
VTP 조건
-
VTP Domain Name 설정
- 스위치에 VTP는 기본적으로 동작이 되고 있는 상태이며 끌 수가 없는 프로토콜
- 초기에 아무 설정도 하지 않으면 VLAN정보를 동기화 하지 않음
- 스위치간 도메인 이름이 설정되어 있지 않기 때문
- VTP를 사용하여 VLAN정보를 동기화 하기 위해서는 스위치들의 VTP 도메�인 이름을 같도록 설정해야 함
-
스위치간 Trunk Port 설정
- VTP 메시지는 Trunk에서만 전달될 수 있음
- 스위치간 링크가 만약 Access로 설정이 되어있거나 Trunk 설정이 아직 되지 않은 경우, VTP 메시지를 주고 받을 수 없음
-
VTP Password 일치
- 안전장치인 비밀번호를 설정해놓는 경우가 있음
- VTP 프로토콜을 이용하여 무분별하게 정보를 받아올 수 있기 때문에
- 만약 도메인 이름은 동일한데 비밀번호가 같지 않다면 VTP메시지를 통한 동기화를 할 수가 없음
- 비밀번호를 설정해놓은 경우에는 동기화를 할 모든 스위치에 비밀번호가 같도록 해야함
- 안전장치인 비밀번호를 설정해놓는 경우가 있음
VTP 유의사항
- 확장 VLAN인 1006~4094번은 VTP 버전 1 , 2 모두 지원하지 않기 때문에 Transparent 모드에서만 만들 수 있음
- 스위치의 기본설정으로 Server로 되어 있으며 Domain은 비어있음
- 공격자가 하나의 스위치에서 Domain을 설정하면 모든 스위치가 하나의 VTP로 묶이게 되어 마음대로 설정이 가능해짐
- VTP 를 사용하고 싶지 않을 때에는 따로 끄는 기능이 없어 Transparent 모드로 변경해주어야 함
- 시스코에서도 VTP Transparent 모드를 권장함
- 설정 순서로 인한 문제가 발생할 수도 있기 때문에 패스워드->도메인이름->모드변경 순으로 해줘야 �함
- 단, 12.2버전에서는 도메인이름 부터 설정해야 패스워드 설정이 되며, 12.3 이상부터는 패스워드설정부터 가능
- 새 장비 또는 수리한 사용하던 장비를 네트워크에 추가 시키려고 할 경우, 리비전 넘버를 초기화 시킨 후 추가 해야 다른 장비의 VLAN정보에 영향을 미치지 않음
VTP pruning
- pruning의 뜻은 가지치기
- VLAN을 좀더 효율적으로 사용하기 위해 만든 응용 기법
- VLAN 트래픽이 이동할 때 갈 필요가 없는 trunk 방향으로 트래픽이 나갈 경우 그 부분을 가지치기처럼 잘라내는 기법
- 자신과 상관없는 VLAN 정보에 대한 트래픽을 trunk 포트라 하더라도 수신하지 않겠다는 의미
- trunk 대역폭을 절약