Noël NICOLAS

Le protocole VTP (VLAN Trunk Protocol)

Posted on by Noël NICOLAS

Le protocole VTP (VLAN Trunking Protocol) est un protocole de gestion de VLAN utilisé dans les réseaux informatiques. Il permet la propagation des informations VLAN à tous les équipements du réseau, facilitant ainsi la gestion des VLAN dans un réseau étendu.

Le protocole VTP est un sujet clé pour les professionnels de la gestion de réseau, car il offre une solution pratique pour centraliser et simplifier la gestion des VLAN. Il permet aux administrateurs de configurer et de modifier les VLAN sur un seul commutateur, puis de diffuser ces informations à tous les autres commutateurs du réseau.

Cela simplifie grandement la configuration des VLAN dans les réseaux de grande taille, permettant ainsi aux administrateurs de gagner du temps et de minimiser les erreurs de configuration. Cependant, il est important de comprendre les bonnes pratiques de configuration pour éviter les problèmes de sécurité et de performances.

Dans cet article, nous allons explorer en détail le protocole VTP, son fonctionnement, ses avantages et ses limitations, ainsi que les bonnes pratiques de configuration pour assurer une gestion efficace et sécurisée des VLAN dans un réseau étendu.

Le protocole VTP

Introduction

VTP = Vlan Trunk Protocol

Imaginons que nous avons un réseau de desserte composé de 500 Switchs. Vous voulez créer un nouveau vlan. Vous devez donc passer sur les 500 équipements actifs afin de créer ce vlan dans leurs Vlan database (vlan.dat). Pourquoi pas se tourner vers un protocole d’apprentissage dynamique de vlan ? VTP est né !

Ce protocole va :

  • Ajouter,
  • Supprimer
  • et Renommer

 Les vlans d’une architecture à partir d’un point central. C’est un protocole Propriétaire CISCO.

Chapitre 1

Présentation du protocole VTP

Principe de fonctionnement

Le protocole VTP a pour objectif de synchroniser les informations VLAN entre les différents switchs d’un réseau étendu, en mettant à jour le fichier Vlan.dat. Le protocole VTP facilite la gestion des VLAN en permettant la création, la modification et la suppression de VLAN de manière centralisée.

Après avoir configuré le protocole VTP sur les différents switchs, la création de nouveaux VLAN se fait sur le serveur VTP. Ce dernier va ensuite diffuser la mise à jour des informations VLAN aux clients.

La configuration pour la diffusion automatique des VLAN est très simple, il suffit de configurer le protocole VTP et le reste se fait automatiquement. Cela permet de simplifier la configuration et la maintenance des VLAN dans un réseau étendu.

En utilisant le protocole VTP, les administrateurs peuvent gérer les VLAN de manière centralisée et cohérente, améliorant ainsi la sécurité, les performances et la flexibilité du réseau.

La synchronisation VTP

Chapitre 2

Les modes du protocole VTP

Présentation des différents mode VTP

Le protocole VTP (VLAN Trunking Protocol) permet une gestion centralisée des VLAN dans un réseau étendu. Il est important de comprendre les différents modes de configuration pour assurer une gestion efficace et sécurisée des VLAN.

  • Le mode “SERVEUR” permet un contrôle total pour la création, suppression et renommage des VLAN dans le domaine. Il peut y avoir plusieurs switchs en mode “serveur” dans un domaine VTP, permettant une gestion centralisée et cohérente des VLAN.
  • Le mode “CLIENT” ne permet pas de créer, supprimer ou renommer des VLAN, mais il apprend les créations et les modifications de VLAN du serveur VTP. Il relaie également les trames VTP par tous ses autres ports trunks.
  • Le mode “TRANSPARENT” ne crée ni ne supprime de VLAN, mais relaie les informations provenant du serveur VTP vers ses ports trunks. Dans le cas de VTP v1, il relaie uniquement si le domaine et la version VTP sont respectés. Dans le cas de VTP v2/3, il relaie les informations en toute circonstance.
  • le mode “OFF” ignore complètement le VTP et est disponible uniquement avec le VTP version 3. Cela peut être utile dans des scénarios où le VTP n’est pas nécessaire ou s’il est désactivé pour des raisons de sécurité.

En utilisant les différents modes de configuration du protocole VTP, les administrateurs peuvent mieux contrôler la gestion des VLAN dans leur réseau, améliorer la sécurité et la performance, et simplifier la configuration et la maintenance.

les différents mode vtp
Chapitre 3

Les versions du protocole VTP

Le protocole VTP existe en trois versions, chacune offrant des fonctionnalités et des avantages différents.

  • La version 1 est la version par défaut du protocole VTP et offre des fonctionnalités de base pour la gestion des VLAN.
  • La version 2 a été introduite pour résoudre certains problèmes de sécurité et de performance rencontrés avec la version 1, notamment en introduisant le mode “transparent”. Le mode “transparent” permet à un switch VTP de relayer les informations VTP sans vérifier la version VTP, ce qui peut être utile dans des scénarios spécifiques où une mise à niveau de la version VTP est en cours.
  • La version 3 est la dernière version du protocole VTP et offre des fonctionnalités avancées pour la gestion des VLAN, telles que la prise en charge des VLAN 1 à 4095, des Private VLAN (PVLAN), et du Remote SPAN (RSPAN). Elle permet également la création du mode “off”, qui permet à un switch de complètement ignorer le protocole VTP. La version 3 introduit également des fonctionnalités de sécurité avancées, telles que l’authentification et la synchronisation des bases de données du protocole MST.

En conclusion, la version 3 du protocole VTP offre des fonctionnalités avancées et des améliorations de sécurité par rapport aux versions précédentes. Les versions 1 et 2 peuvent travailler ensemble, mais la différence réside au niveau du mode “transparent”. Il est recommandé d’utiliser la version la plus récente du protocole VTP pour bénéficier de toutes les fonctionnalités et des améliorations de sécurité.

Chapitre 4

Les échanges VTP

Afin d’échanger des informations , le protocole VTP utilise 3 types de trames :

Summary Advertisements

  • Toutes les 300 secondes
  • À chaque mise à jour du vlan.dat du serveur VTP

Il contient :

  • Version VTP
  • VTP domain
  • Numéro de la révision
  • Time Stamp
  • Le hash MD5
  • Le nombre de subset advertisements qui suit.

Subset
Advertisements

  • Création ou suppression d’un VLAN
  • Activation ou désactivation d’un VLAN
  • Changement de nom d’un VLAN
  • Changement du MTU d’un VLAN

Demande de mise jour fait par le client

  • Suppression de sa vlan.dat
  • Réception d’un Summary Advertissement avec une révision trop élevée
Chapitre 5

Le VTP PRUNNING

Lorsqu’un PC dans un VLAN envoie un broadcast, il sera transmis sur toutes les interfaces en mode “Trunk” du réseau. Cela peut causer des congestions de trafic inutiles, en particulier pour les VLAN qui ne sont pas présents partout dans l’architecture.

Lorsqu’un PC dans un VLAN envoie un broadcast, il sera transmis sur toutes les interfaces en mode “Trunk” du réseau. Cela peut causer des congestions de trafic inutiles, en particulier pour les VLAN qui ne sont pas présents partout dans l’architecture.

Pour éviter cela, le protocole VTP a intégré l’option de “pruning”. Cette fonctionnalité permet de limiter la propagation des broadcasts aux VLAN qui sont présents sur chaque lien du réseau. Les switches de chaque VLAN échangent des messages pour déterminer quels VLAN sont présents sur chaque lien et ajustent automatiquement leur configuration de pruning en conséquence.

Ainsi, lorsqu’un PC envoie un broadcast, il ne sera transmis qu’aux switches qui ont des interfaces appartenant au même VLAN. Cela permet d’optimiser la bande passante du réseau et de réduire la congestion de trafic inutile.

En utilisant l’option de pruning, les administrateurs peuvent améliorer les performances et l’efficacité de leur réseau, tout en évitant les problèmes de congestion de trafic inutiles.

Configuration 

Switch(config)# vtp prunning
Chapitre 6

Configuration du protocole vtp

Afin que le protocole VTP soit opérationnel, il faut que les équipements actifs ai en commun :

  • Domaine VTP.
  • Mot de passe MD5.
  • Numéro de révision.
  • La même date de dernière modification.
  • Source de la dernière modification.

Étape 1 : Choix de la version VTP 

Switch(config)# vtp version { 1 | 2 | 3 }

Étape 2 : Spécifier le nom de domaine VTP

Switch(config)# vtp domain FingerInTheNet

Étape 3 : Choisir le mode de notre switch

Switch(config)# vtp mode { server | client | transparent | off }

Étape 4 : Sécuriser le protocole VTP

Switch(config)# vtp password XXXX

Étape 5 : Créer les Vlans sur le serveur VTP

L’administrateur réseau devra créer manuellement les Vlans sur le Switch en mode VTP Server :

VTP_SERVER(config)# vlan 10
VTP_SERVER(config-vlan)# name SECRÉTAIRE
VTP_SERVER(config-vlan)# exit

VTP_SERVER(config)# vlan 20
VTP_SERVER(config-vlan)# name BOSS
VTP_SERVER(config-vlan)# exit

VTP_SERVER(config)# vlan 30
VTP_SERVER(config-vlan)# name VENDEUR
VTP_SERVER(config-vlan)# exit

Vérification :

Switch# show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/2
10   SECRETAIRE
20   BOSS
30   VENDEUR
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active

Nos Vlans sont bien configurés !

Étape 6 : Vérification sur un Switch en mode VTP Client

Vérifications :

Switch# show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/2
10   SECRETAIRE
20   BOSS
30   VENDEUR
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active

Nos Vlans ont été créés automatiquement !!!

Il ne vous reste plus qu’à affecter les ports de vos Switchs dans des Vlans !!!

en résumé 

Switch(config)# vtp version { 1 | 2 | 3 }
Switch(config)# vtp domain FingerInTheNet
Switch(config)# vtp mode { server | client | transparent | off }
Switch(config)# vtp password XXXX
Chapitre 7

Vérification du protocole vtp

Afin de vérifier si deux équipements sont synchronisés , utilisez la commande

SW1# show vtp status
VTP Version capable             : 1 to 3
VTP Version running             : 1
VTP Domain Name                 : FINGERINTHENET 
VTP Pruning Mode                : Disabled 
VTP Traps Generation            : Disabled
Device ID                       : 001f.6cd2.3a00
Configuration last modified by 1.1.1.1 at 27-1-03 02:48:32 
Local updater ID is 1.1.1.1 (no valid interface found) 

Feature VLAN:
--------------
VTP Operating Mode              : Server 
Maximum VLANs supported locally : 255 
Number of existing VLANs        : 7 
Configuration Revision          : 42

MD5 digest                      : 0x07 0xBF 0x4A 0xC5 0x97 0x18 0x72 0x36
SW2# show vtp status
VTP Version capable             : 1 to 3 
VTP Version running             : 1
VTP Domain Name                 : FINGERINTHENET 
VTP Pruning Mode                : Disabled 
VTP Traps Generation            : Disabled
Device ID                       : 001f.6cd2.3a00
Configuration last modified by 1.1.1.1 at 27-1-03 02:48:32 
Local updater ID is 1.1.1.1 (no valid interface found) 

Feature VLAN:
--------------
VTP Operating Mode               : Client 
Maximum VLANs supported locally  : 255 
Number of existing VLANs         : 7 
Configuration Revision           : 42 
MD5 digest                       : 0x07 0xBF 0x4A 0xC5 0x97 0x18 0x72 0x36
Ils doivent donc avoir le même :
  • Domaine VTP.
  • Mot de passe MD5.
  • Numéro de révision.
  • La même date de dernière modification.
  • Source de la dernière modification.
Chapitre 8

Questions / Réponse

NON

VTP SERVER

Seulement sur le VTP SERVER, cette option sera activée dans toute la topologie VTP.

Chapitre 8

Exercice VTP

Packet Tracer – Exercice VTP

Chapitre 9

Mind Map

Pour finir cet article, voici une idée de MindMap pour le protocole VTP :

Mind Map du protocole VTP
Mind Map du protocole VTP

Sur le même thème :

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

Le protocole STP (Spanning-Tree Protocol)

Posted on by Noël NICOLAS
Le protocole STP

Introduction

Le but du Spanning-Tree est d’obtenir une architecture LAN SANS BOUCLE.

Le premier protocole permettant de faire du Spanning-Tree est le protocole STP (Spanning-Tree Protocol). Pour transformer une architecture maillée en architecture sans boucle,  STP va devoir désactiver certaines liaisons. Pour ce faire, il a la possibilité de mettre les ports d’un switch dans un de ces deux états (state) stables :

Forwarding (FWD) :

  • fonctionnement normal du port

Blocking (BLK) :

  • le port n’émet rien sauf des trames STP
  • le port reçoit tous mais ne traite que les trames STP

Pour prendre ce type de décision, il va falloir que tous les switchs se mettent d’accord sur l’architecture logique à adopter. Nos switchs vont échanger des informations STP via des trames BPDU, pour qu’il soit tous d’accord, ils vont dans un premier temps devoir élire un chef !!

Le Chef sera appelé le root-bridge !

Le protocole STP

LE COURS EN VIDéo

Vidéo STP (1/2)

Vidéo STP (2/2)

FITN-Blanc

Débloque l'intégralité du site

Abonne-toi
offre limité
Chapitre 1

Élection des BRIDGE

Comment le root bridge est élu ?

Grâce au Bridge ID (BID).

Comment est généré le Bridge-ID ?

Le Bridge ID est généré automatiquement par nos switchs. Il est composé de 2 choses:

Bridge Priority

  • sur 2 octets
  • peut-être modifié par l’administrateur
  • compris entre 0 et 65 535
  • possède un pas de 4096 (4096, 8192, 12228, …,  57344 ou 61440)
  • par défaut : 32 768

MAC Address

  • sur 6 octets
  • correspond à l’adresse MAC de notre switch

Quel est le rôle des trames BPDU ?

Grâce aux trames BPDU, nos switchs vont chercher l’équipement actif possédant la valeur de Bridge Priority la plus faible. Si tout le monde à la même valeur de bridge priority. Ils vont chercher qui à la MAC Address la plus faible.

Par défaut, le switch possédant l’adresse Mac la plus faible va être le root bridge !

Conclusion :

Ce sera donc le switch le plus vieux de votre réseau qui sera le chef de votre topologie de niveau 2 ! Il est primordial de mettre votre cœur de réseau en tant que root bridge (#chef) en jouant sur son bridge priority. Dès que le “root bridge” est élu, tous les liens vont se mettre soit en forwarding, soit en blocking, en suivant la logique suivante :

Protocole STP - Root Bridge
Protocole STP – Root bridge
  • Tous les ports du switch “root bridge(#chef) vont être obligatoirement dans l’état forwarding
  • Le port de chaque “non root bridge(#lesautresswitchs) qui a le coût administratif le plus petit pour aller vers le “root bridge” est dans l’état forwarding
  • Les autres liaisons seront inactives. Sur une liaison inactive, il y aura toujours un port dans l’état forwarding et un autre dans l’état blocking.

Si un lien actif tombe, il sera remplacé par un lien inactif en suivant la logique ci-dessus.

Comment les non-root bridge sont élu ?

Les switchs qui ne seront pas ROOT-BRIDGE seront des NON-ROOT-BRIDGE 😉
Chapitre 2

Le rôles des ports dans une architecture STP

Nous avons vu que les ports de nos switchs peuvent prendre 2 états :

  • forwarding
  • blocking

Le protocole STP va aussi définir un rôle pour chaque port, il existe 3 rôles :

  • root port
  • designated port
  • blocking port

Pour définir quel port de notre switch va devenir le root-port ->

  • Le coût administratif le plus bas

Si égalité

  • La valeur du Bridge ID la plus faible

Si égalité

  • Le numéro de port le plus faible.

Comment se définit le root-port ?

L’élection du root-port va se dérouler de cette manière : 

  • Le coût administratif le plus bas

Si égalité

  • La valeur du Bridge ID la plus faible

Si égalité

  • Le numéro de port le plus faible.

Comment se définissent les designated-port ?

Un port qui a le rôle de “designated port” est dans l’état forwarding.
Tous les ports du root bridge (#chef) ont le rôle de “designated port”.
Seules les liaisons entre “root port” et “designated port” seront actives.

Protocole STP - Designated port
Protocole STP – Designated port

Les autres liaisons posséderont un port en “designated port” et un port en “blocking port”. Afin de déterminer lequel des deux ports aura le rôle de “designated port”, on va définir lequel des deux switchs possède :

  • La liaison avec le coût le plus faible pour atteindre le “root bridge” (root path cost)

En cas d’égalité

  • La Priorité la plus faible ( Bridge ID : par défaut 32 768)

En cas d’égalité

  • L’adresse MAC la plus faible
Protocole STP - Designated Port - Schéma 01
Protocole STP – Designated port – Schéma 01

Les autres ports seront dans l’état Blocking :

Protocole STP - Designated Port - Schéma 02
Protocole STP – Designated port – Schéma 02

 

Comment se définissent les blocking-port ?

C’est les autres ports

Chapitre 3

Élection des rôles

Le coût administratif le plus bas

Nous avons vu plus haut que chaque switchs “non-root bridge” va mettre le port qui a le coût administratif le plus bas pour discuter avec le root- bridge dans l’état “forwarding”. Ce port aura le rôle de  “root port”.

Comment calcule-t-il le coût administratif ? En prenant en compte le tableau suivant :

  • 10 Mbps = 100
  • 100 Mbps = 19
  • 1 Gbps = 4
  • 10 Gbps = 2

Étape 1 :

Le root bridge envoie une trame BPDU sur tous ces ports avec une valeur de “root path cost” (coût du chemin vers le root bridge) égale à 0.

Étape 2 :

Les switchs recevant cette trame BPDU mettent cette valeur de “path cost” sur l’interface physique de réception.

Étape 3 :

Ces derniers renvoient sur leurs autres interfaces une trame BPDU avec un “root path cost” égale à 0 + la valeur de l’interface de sortie.

Exemple :

Le switch 1 possède uniquement des interfaces FastEthernet. Il reçoit sur l’interface FastEthernet 0/1 un message BPDU possédant un “root path cost” égal à 0. Il va donc envoyer une trame BPDU sur ces autres ports FastEthernet avec une valeur de “root path cost” égale à 19 (0+19).

L’interface physique de chaque “non-root switch” possédant la valeur “root path cost” la plus faible aura le rôle de “root-port”.

Pour illustrer cela , nous allons nous baser sur la même architecture vu précédemment.

Le seul point qui va différer sur les deux architectures est le coût des liaisons.

Protocole STP - Coût administratif - Schema 01
Protocole STP – Coût administratif – Schema 01

Maintenant, mettons sur ces architectures nos “root-port” :

Protocole STP - Coût administratif - Schema 01
Protocole STP – Coût administratif – Schema 02

Les switchs C et D ont trouvé un chemin plus court en passant respectivement vers B et E.

La valeur du Bridge ID la plus faible

Protocole STP - Bridge ID
Protocole STP – Bridge ID

Imaginons ce cas de figure :

Un de nos switchs reçoit sur deux de ses ports une trame BPDU possédant le même coût administrative. Du coup quelle liaison va-t-il choisir de mettre en mode Forwarding ?

Dans notre trame BPDU, nous avons vu plus haut que chaque switch intègre son Bridge ID.

Vu que le coût administratif est égal pour ces deux trames BPDU, notre switch va regarder la valeur du Bridge ID de ces deux trames et va décider de mettre en mode forwarding l’interface qui a reçu le BDPU avec le Bridge ID le plus faible.

Dans notre cas, tout notre Bridge ID ont une valeur par défaut.

Le switch B possède une adresse mac plus faible que le switch C.
Le switch D va donc passer par le switch B afin d’atteindre le root bridge.

Le numéro de port le plus faible

Notre switch D reçoit deux trames BPDU sur 2 ports différents :

  • Les coûts administratifs sont égaux
  • Les bridges ID sont égaux (vu qu’ils proviennent du même switch).

Notre switch va donc devoir choir une liaison a mettre en forwarding et l’autre en blocking.

Le numéro de port le plus faible sera mis en actif.

Chapitre 4

État des ports STP

État des ports STP

Nos ports STP peuvent prendre plusieurs états. Il existe de différents types d’états :

État stable

  • disabled(avec la commande shutdown)
  • blocking(le protocole a pris la décision de bloquer ce port pour éviter une boucle, il reçoit et traite toujours les trames BPDU qu’il reçoit)
  • forwarding(le port est actif)

État transitoire

  • listening (le port peut envoyer et recevoir des trames BPDU) = 15s
  • learning(idem que l’état “listening”, sauf qu’il va en même temps remplir sa table ARP) = 15s
Etats des ports STP
États des ports STP

Communication STP

Nos switchs échanges des informations concernant le STP via des trames BPDU (Bridge Protocol Data Units). Il existe 2 types de trames BPDU :

Configuration BPDU :

  • Permet de tenir au courant ses voisins de l’état de santé de la topologie STP.

Topologie Change Notification BPDU (TCN BPDU) :

  • Permet d’annoncer un changement de topologie STP.

Par défaut , un Switchs envoie une trame BPDU toutes les 2 secondes sur tous ses ports .

En cas de panne

Afin de maintenir notre architecture à jour et à prêt à basculer en cas de panne , le “root bridge” envoie sur tous ses ports et toutes les 2 secondes une trame “Hello BPDU“.

Cette trame contient :

  • le root Bridge ID
  • le Bridge ID (dans ce cas , il sera identique au root Bridge ID)
  • le coût pour atteindre le root bridge (dans ce cas, il sera égal à zéro)

Chaque non Root Bridge (#paschef) remplace le Bridge ID et le coût pour atteindre le root bridge (#chef) par les siens et retransmet cette trame sur tous ses ports “designated port”.

Si un switch ne reçoit plus de trame Hello BPDU pendant 20secondes (10 x 2sec) , il va commencer à essayer de changer la topologie STP. Cet intervalle de temps s’appelle le “MaxAge“.

Lorsque la topologie STP commence à changer et que cela nécessite qu’un port précédemment en mode blocking doive passer en mode forwarding. Il va passer dans les stades d’écoute (listening) et d’apprentissage (learning).

fDans le guide officiel du CCNA 200-125 , nous pouvons trouver ce tableau :

Il nous indique que les états blocking, forwarding et disable (shutdown, éteint) sont des états stables et que les états listening et learning sont des états transitoires. Chacun de ses états transitoires dure 15 secondes.

Il va falloir 50 secondes (20+15+15) à notre topologie STP afin de pallier à une panne réseau.

Ce temps est beaucoup trop important. Le protocole RSTP (Rapid STP) est né.

Sur le même thème :

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !