VTP란?
VLAN Trunking Protocol 의 약자로, 연결된 스위치들끼리 VLAN 정보를 주고 받아 자동으로 동기화하게 해주는 프로토콜이다.
관리해야 되는 스위치가 많은 경우에 유용하게 사용될 수 있지만, 보안상의 이유로 거의 사용되지 않는다.
VTP 사용 조건
<VTP Domain Name 설정>
스위치에 VTP는 기본적으로 동작이 되고 있는 상태이며 끌 수가 없는 프로토콜이다. 그러나 초기에 아무 설정도 하지 않으면 VLAN정보를 동기화 하지 않는데, 이는 스위치간 도메인 이름이 설정되어 있지 않기 때문이다. 따라서 VTP를 사용하여 VLAN정보를 동기화 하기 위해서는, 스위치들의 VTP 도메인 이름을 같도록 설정해야 한다.
<스위치간 Trunk Port 설정>
VLAN 정보를 공유하기 위해 VTP메시지를 보내는데, 이 메시지는 Trunk에서만 전달될 수 있다. 따라서 스위치간 링크가 만약 Access로 설정이 되어있거나, Trunk 설정이 아직 되지 않은 경우라면 VTP 메시지를 주고 받을 수 없다.
<VTP Password 일치>
VTP 프로토콜을 이용하여 무분별하게 정보를 받아올 수 있기 때문에 안전장치인 비밀번호를 설정해놓는 경우가 있다. 만약 도메인 이름은 동일한데 비밀번호가 같지 않다면 VTP메시지를 통한 동기화를 할 수가 없다. 따라서 비밀번호를 설정해놓은 경우에는 동기화를 할 모든 스위치에 비밀번호가 같도록 해야한다.
VTP MODE
1) VTP server mode
- Create/Delete VLANS
- Send Advertisements
- Forward Advertisements
- Synchronize
- Save
==> VLAN 설정을 직접 할 수 있고, 설정한 내용을 다른 스위치로 전송한다. 스위치 기본 모드로 설정되어 있다.
2) VTP client mode
- Just Resive and Synchronize
- Forward Advertisements
- Not Save
==> 서버로부터 받은 VLAN 정보로 동기화 하며, 스스로 VLAN을 설정할 수 없다.
3) VTP transparent mode
- Create/Delete VLANS
- Not Send Advertisements
- Not Synchronize
- Forward Advertisements
- Save
==> 스스로 VLAN을 설정할 수 있으나 다른 스위치로 전송하지 않으며, 받은 정보로도 동기화 하지 않는다.
VTP message
1) Summary Advertisement
VTP server가 자신과 연결된 스위치에게 5분 주기로 전달하는 메시지. 자신의 관리하는 VTP domain에 대한 Revision number를 전송한다.
각 스위치들은 이러한 Revision number를 보고 자신의 VLAN 정보가 최신인지 아닌지를 구분한다. 또한 VLAN 구성에 변화가 발생시에도 전송되는데 이 경우는 5분 주기가 아니라 변화 즉시 전송을 한다.
2) Subset Adverisement
VLAN 구성이 변경되었을 경우나 VTP client로부터 Advertisement Request를 수신했을때 전송한다. 실제 VLAN 정보를 담고 있는 메시지이다.
3) Advertisement Request
VTP client가 VTP server에게 Summary Advertisement 혹은 Subset Adverisement를 요청하는 경우 사용하는 메시지이다. client가 자신이 가지고 있는 Revision number보다 높은 Revision number를 가지고 있는 Summary Advertisement를 수신하거나 VTP domain 변경, 스위치 리셋 등 여러 변화가 생겼을 경우 이 메시지를 VTP server에 전송한다.
VTP의 동작
- VTP server에서 VTP domain name은 VLAN을 새로 만들거나 변경하기 전에 먼저 설정해야 한다.
- SW1, SW2, SW3이 있을경우 SW1이 VTP mode를 server로 하고 VTP domain name을 설정한다음 VLAN을 생성한다.
- SW2의 VTP mode를 client로, SW3의 VTP mode를 transparent로 설정 (각 스위치는 trunk port로 연결돼 있어야만 서로 VTP message를 교환할 수 있다.)
- VTP mode가 server인 SW1은 SW2와 SW3에게 Summary Advertisement (VTP domain name과 Revision number)를 전달한다.
- Summary Advertisement를 수신한 SW2는 자신의 VTP domain name을 server와 동일하게 변경, 그 후 수신한 Revision number를 비교해보고 자신의 Revision number보다 더 높을 경우 VLAN 정보를 업데이트 해야하기 때문에 server인 SW1에게 Advertisement Request를 전송해서 상세한 VLAN 정보를 요청한다.
- Advertisement Request을 수신한 SW1은 정보를 요청한 SW2에게 Summary Advertisement와 Subset Advertisement(VLAN 상세 정보)를 전송한다. SW2는 메시지를 수신하고 server와 동일하게 VLAN 정보를 일치화(Syncronization)시킨다. 즉, VTP client는 VTP server와 항상 정보를 일치시킨다. (Cofiguration Revision number를 보고 업데이트 여부를 결정)
- SW3도 server인 SW1에게 Summary Advertisement를 수신한다. 하지만 SW3는 transparent mode이기 때문에 server의 메시지를 자신의 VLAN 정보에 반영하지 않고 원상태를 유지한다. SW3가 새로운 VLAN을 생성하거나 삭제 혹은 수정을 해도 변경된 VLAN 정보를 어디에도 전송하지 않는다. 하지만 VTP가 동작하는 스위치에서 전달받은 VLAN 정보를 다른 스위치로 중계해주는 역할을 한다. 즉, VTP message의 정보를 사용하지는 않고 중간에서 전달은 해준다.
VTP 유의사항
- 확장 VLAN인 1006~4094번은 VTP 버전 1,2 모두 지원하지 않기 때문에 Transparent 모드에서만 만들 수 있다.
- 스위치의 기본설정으로 Server로 되어 있으며 Domain은 비어있다.
이 경우 공격자가 하나의 스위치에서 Domain을 설정하면 모든 스위치가 하나의 VTP로 묶이게 되어 마음대로 설정이 가능해진다.
- VTP 를 사용하고 싶지 않을 때에는 따로 끄는 기능이 없어 Transparent 모드로 변경해주어야 한다.
- 시스코에서도 VTP Transparent 모드를 권장하고 있다.
- 설정 순서로 인한 문제가 발생할 수도 있기 때문에 <패스워드→도메인이름→모드변경> 순으로 해줘야 한다.
단, 12.2버전에서는 도메인이름 부터 설정해야 패스워드 설정이 되며, 12.3 이상부터는 패스워드설정부터 가능하다.
- 새 장비 또는 수리한 사용하던 장비를 네트워크에 추가 시키려고 할 경우, 리비전 넘버를 초기화 시킨 후 추가 해야 다른 장비의 VLAN정보에 영향을 미치지 않는다.
VTP pruning
- VLAN을 좀더 효율적으로 사용하기 위해 만든 응용 기법
- pruning의 뜻은 가지치기,
VLAN 트래픽이 이동할 때 갈 필요가 없는 trunk 방향으로 트래픽이 나갈 경우 그 부분을 가지치기처럼 잘라내는 기법이다. 즉, 자신과 상관없는 VLAN 정보에 대한 트래픽을 trunk 포트라 하더라도 수신하지 않겠다는 의미. (trunk 대역폭을 절약할 수 있다.)
모든 스위치 간에는 트렁크 포트로 연결되어 있고, SW1의 port 1, SW4의 port 2에 Red VLAN이 할당되어 있다
(다른 스위치들은 Red VLAN이 생성되지 않았다)
SW1의 port 1에 연결된 A 호스트에서 브로드캐스트가 발생하면 모든 트렁크 링크를 통하여 전파되므로 SW3, SW5, SW6은 Red VLAN이 없음에도 불구하고 브로드캐스트 프레임이 플러딩된다
(어떤 VLAN이던지 태깅된 프레임은 트렁크 포트로는 무조건 전달된다)
이 때 VTP 서버에서 VTP 프루닝 기능을 활성화시키면 전파되어 모든 스위치에 VTP 프루닝 기능이 활성화된다.
그러면 SW1으로부터의 브로드캐스트 프레임은 SW2의 port 5, SW4의 port 4에서 가지치기 되어 SW3, SW5, SW6으로 플러딩되지 않는다
이 후 SW6에 Red VLAN에 속하는 포트가 할당되면 SW4, SW5, SW6에서 Red VLAN 프루닝이 자동으로 Disabled된다
(SW4, SW5도 Red VLAN을 알고있어야 SW6까지 Red VLAN 프레임을 트렁크로 전달할 수 있으므로 SW4, SW5에도 Red VLAN이 생성될 것이다)
'Switch' 카테고리의 다른 글
[Config] VLAN 설정 (0) | 2014.03.04 |
---|---|
[Config] Switch 장비 기본 설정 (0) | 2014.02.28 |
Native VLAN 이란 (4) | 2014.02.26 |
VLAN 개요 (1) | 2014.02.25 |
Switch 기본개요 (1) | 2014.01.05 |