Dominio VTP, o como hacer un HUB gigante

Últimamente tengo una sensación rara. O yo he estado viviendo en un universo paralelo (el universo de mi mapa de red) o el resto de la gente que hace mapas de red se ha vuelto loca… Últimamente solo veo cosas extrañas, o quizás me estoy haciendo mayor.

Me explico. Últimamente estoy “prisionero” en una organización (por llamarla de alguna manera). Una red de tamaño mediano/grande en la cual se han dedicado a plantar switches pequeños como el que planta lechugas en el campo. Muchos de esos switches están estackados (si es que se escribe así) entre si y unidos al resto de diferentes formas (fibra, cobre… dependiendo de lo que hubiese desayunado el que lo hiciera).

El problema de estas organizaciones es que, la rotación de personal es tan grande (incluida la mía, que no creo que me quede mucho) que no hay ningún criterio en la topología de la red. Cada vez que entra uno y le toca poner algún equipo lo hace como buenamente puede (o quiere).

Como consecuencia de este “desorden” (curioso que la rotación de personal solo sea de las capas técnicas, las de gestión se aferran como un naufrago a su tablón). Se ha montado un Super Hub de un tamaño descomunal… y todo el mundo tan contento… te pinches donde te pinches puedes tener acceso a cualquier cosa…

No hay ningún tipo de separación. Muchas Vlans si, pero al final todos los switches las ven todas así que …

Cuando entré por aquí y empezaron a contarme como estaban las cosas (lo poco que saben, cuanta mas rotación de personal hay… menos información queda).

Entonces … apareció el VTP …

VTP (Vlan Trunking Protocol) es un protocolo que usan los equipos cisco para configurar y administrar VLANs. Eso significa que, configuras 1 switch como servidor VTP y das de alta las VLANs que necesites. Luego le enganchas otro (que tienes que poner como cliente de ese dominio que has creado antes) y le pasa la configuración de las vlans (la definición). Todo muy bonito, te ahorra picarte unas cuantas lineas (aquí seria flipante, hay definidas mas de 250 vlans, flipante).

Para definir un dominio vtp…

c3570#vlan database -> Selecciona el modo de creación y edición de VLANs.
c3570(vlan)#vtp domain nombre-dominio -> Nombre del dominio VTP.
c3570(vlan)#vtp mode server <- Lo ponemos en modo server c3570#vtp v2-mode c3570(vlan)#vtp domain password <- Importante ... el vtp es susceptible de ataques "man in the middle" ... echar un vistazo a esta presentación.

Y luego los clientes que quieras añadir:

c3572#vlan database -> Selecciona el modo de creación y edición de VLANs.
c3572(vlan)#vtp domain nombre-dominio -> Nombre del dominio VTP.
c3572(vlan)#vtp mode server <- Lo ponemos en modo client c3572#vtp v2-mode c3572(vlan)#vtp domain passwordOjo porque ... los switches vienen por defecto con el vtp habilitado en modo server ... así que ... nunca los dejes con la configuración por defecto. Usa contraseña si o si…

Yo soy partidario de separar las cosas … por ejemplo, las VLANs de usuarios de las VLANs de CPD … así que, mejor 2 dominios que solo 1.

Ojo con el numero de VLANs que vas creando, lo normal es que se vayan creando según se necesitan … pero nunca se dan de baja. Hay equipos (los mas pequeños) que solo soportan un numero pequeño de vlans… si los metes al dominio (cosa que pasa por aquí) empiezan a petar …

Hay que hablar también del tercer modo … el transparente … básicamente … pasa de la configuración del dominio vtp … pero deja pasar los paquetes al resto de los switches de su topología …

Si algún día tienes problemas con el dominio … lo mas rápido es poner el switch afectado en modo transparente. Lo mas rápido … pero no la opción por defecto … un switch en medio de un dominio configurado como modo transparente es una fuente de problemas …

Hay que pensar un poco antes de ponerte a crear dominios como un loco. Yo siempre intento separar las zonas (cuantas mas… mejor). Pregúntate si un switch de planta que solo tiene usuarios necesita ver una vlan de servidores del CPD. Es probable que no.

Creo que merece la pena pensar un poco antes de ponerte a configurar como un loco … eso es para lo que nos pagan … para pensar …

One Comment

  • muy buen articulo
    saludos

    muy buen articulo
    saludos