VTP: Vlan Trunking Protocol IV

Na 3ª parte deste artigo vimos como sao compostos os diferentes cabeçalhos VTP. Chega de Teoria, o objectivo agora é ver na prática como isso funciona. Suponhamos a seguinte rede (Peguei esse diagrama na net, ando sem tempo p/ diagramar:)

O objectivo é criar 3 vlans: 10, 20 e 30 no comutador em estado Server S1 de tal modo que as mesmas sejam propagadas aos comutadores S2 e S3 em estado Client.

Os comutadores podem ser da linha dos 2960 ou 3560 (se alguem tiver um desses, por favor me conceda apenas 30 minutos nele.)

É sempre preferencial posicionar um 3560 como VTP Server e alguns 2960 como VTP Clients.

As configurações em S1 são as seguintes:

– Setar um dominio VTP (importante que seja o primeiro passo)
– Setar uma password para permitir a autenticação na troca de dados entre trunks.
– Criar as Vlans (no nosso caso, a 10 – management, a 20 – it, e a 30 – humanresources:)
– Se necessario confirmar as interfaces que ligam a S2 e S3 como trunk (se nao estiverem no estado de negociação)

S1(config)#vtp domain snnangola.com
Changing VTP domain name from NULL to snnangola.com
S1(config)#vtp password snnangola
Setting device VLAN database password to snnangola
S1(config)#vtp mode server
Device mode already VTP SERVER.
S1(config)#vlan 10
S1(config-vlan)#name management
S1(config-vlan)#vlan 20
S1(config-vlan)#name it
S1(config-vlan)#vlan 30
S1(config-vlan)#name humanresources

Em S2 e S3:

– Setar um dominio igual ao de S1.
– Setar uma password igual a de S1.
– Colocar no estado/modo Client.
– Colocar as interfaces que ligam a S1 em modo trunk.

S2

S2(config)#vtp domain snnangola.com
Changing VTP domain name from NULL to snnangola.com
S2(config)#vtp password snnangola
Setting device VLAN database password to snnangola
S2(config)#vtp mode client
Setting device to VTP CLIENT mode.

S2(config-if)#switchport mode trunk

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

S3

S3(config)#vtp domain snnangola.com
Changing VTP domain name from NULL to snnangola.com
S3(config)#vtp pass
S3(config)#vtp password snnangola
Setting device VLAN database password to snnangola
S3(config)#vtp mode client
Setting device to VTP CLIENT mode.

S3(config-if)#switchport mode trunk

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to up

Uma analise a vlan.dat em S2 revela a existencia das VLans 10, 20 e 30 nestes comutadores, apesar de terem sido configuradas em S1:

S2#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/2, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24, Gig1/1
Gig1/2
10   management                       active
20   it                               active
30   humanresources                   active
1002 fddi-default                     active
1003 token-ring-default               active
1004 fddinet-default                  active
1005 trnet-default                    active

Então é isso aí. Temos visto muitas redes sem VLans em grandes instituições. O resultado disso é o aumento da insegurança na transmissao dos dados, problemas de tempestade de broadcast, atrasos nas transmissões, etc. Segmente a sua rede, crie vlans que o controle será maior, tudo será facilitado na hora do troubleshooting.

O que é um IDS?

IDS sao as iniciais de Intrusion Detection System ou Sistema de Detecção de Intrusos. É um sistema que permite detectar ataques contra redes ou hosts. O IDS actua em modo promiscuo nao afectando os recursos de rede nem introduzindo qualquer latencia ou jitter nos pacotes.  Apenas os pacotes que passam pelo sensor IDS sao comparados a uma database de assinaturas que permite detectar se o tráfego é legal ou é ilegal.

Gerlamente um IDS sabe o comportamento dum determinado tipo de tráfego, por exemplo do worm Code Red que devastou milhares de redes de computadores. Uma assinatura do Code Red existe no device IDS sensor tal que sendo a mesma identificada na rede um alerta é imediatamente activado. (Pode ser uma mensagem de email, telefone, geração duma entrada em arquivo de log ou um outro comportamento programavel)

Existem vários IDSs existentes no mercado. Um deles e muito conhecido é o SNORT criado por Martin Roesch. Em anos atrás fui aficionado por este IDS. (que saudades destes tempos bons) Era uma especie de menina do olho por causa da sua grande flexibilidade em termos de detecção graças ao seu avançadissimo sistema de criação de regras de detecção. Na realidade é ali onde consiste o grande segredo dum IDS: As regras de detecção.  Estas regras sao fundamentais na identificação dum pacote entrante tal que exista um match (correspondencia) entre o que está na base de dados de regras ou assinaturas e o que vem no pacote entrante.

Como se pode observar pela figura acima um IDS (Appliance) geralmente é posicionado atrás dum firewall para facilitar a protecção das redes que necessitam de tal.

UNITEL estende o seu cabo de fibra optica

Aí está a prova (Frente ao edificio ESCOM, na Marechal Broz Tito, Cruzeiro):

Por outro lado, iguais a esta podem ser observado por praticamente todo municipio das Ingombotas, nao sabendo entretanto se já foi estendida para municipalidades proximas.

VTP: Vlan Trunking Protocol III

Na segunda parte deste artigo detalhamos alguns componentes do cabeçalho VTP. Resta-nos analisar o VTP Message Type. Ele é composto pelos seguintes campos:

Summary Advertisement – Quando o comutador recebe um SA ele verifica se o domain name corresponde ao seu. Se nao corresponde o pacote é ignorado. Se corresponder o configuration revision number é analisado. Se o revision number for maior que o do pacote recebido o pacote é descartado. Se for menor um Advertisement request é enviado. O formato deste elemento do cabeçalho é o seguinte:

– O campo Followers indica que o pacote é seguido por um pacote Subset Advertisement.
Updater Identity é o endereço IP do ultimo comutador que terá incrementado o configuration revision number.
Update Timestamp é a data e a hora do ultimo incremento do configuration revision number.
Message Digest 5 (MD5) transporta a password VTP se o algoritmo MD5 foi escolhido para autenticar a origem duma actualização VTP.

Subset advertisement – Contem uma lista com informações sobre VLANs. Na verdade quando um comutador no estado Server adiciona, modifica ou apaga uma VLAN o configuration revision number é incrementado e um Summary Advertisement é enviado. O seu formato corresponde ao seguinte:

Como se pode ver acima o vlan info field é dinamico e contem informações sobre as vlans tal que as vlans com id mais mais baixo sao tratadas primeiro. O VLAN info field tem o seguinte formato:

A maior parte destes campos sao de fácil entendimento, no entanto…

– O Code para um pacote subset advertisement é 0x02.
– O Sequence number é um numero de sequencia que serve para identificar um pacote. A sequencia inicia com 1.

Advertisement requests – Um comutador necessita deste pedido na situação em que ou o comutador foi resetado ou o domain name foi trocado ou recebeu um Summary Advertisement com um configuration revision number maior do que o seu. Depois disso o comutador envia um Summary Advertisement e uma ou mais Subset advertisements. O se formato:

– O Code para um advertisement request é 0x03.
– O Start-Value é usado em situações em que existem diversas subset advertisements. Se a primeira (n) foi recebida e a seguinte (n+1) nao foi recebida o comutador apenas envia um requests advertisements para o (n+1).

VTP Join Message – Serve para anunciar aos comutadores VTP em estado server a entrada dum novo VTP em estado client na rede.

No proximo artigo daremos atenção a configuração do VTP numa rede.

Fontes:
http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a0080094c52.shtml
http://www.javvin.com/protocolVTP.html
http://www.firewall.cx/vlans-vtp-analysis.php

VTP: Vlan Trunking Protocol II

Na primeira parte deste artigo deu-se uma introdução básica sobre o protocolo VTP. Importa perguntar: Como o protocolo VTP funciona? Este protocolo funciona por meio do trunking, e se funciona por meio do trunking logo exige que seja encapsulado por meio dum protocolo de trunking seja ele ISL ou Dot1Q. Aqui nos baseamos no ultimo. Depois de encapsulado as informações de VTP num cabeçalho Dot1Q, teremos o seguinte formato:


Cabe aqui referenciar alguns elementos deste cabeçalho:

DA – Destination Address – O VTP usa o endereço multicast 01-00-0c-cc-cc-cc.
LLC – Contem o Destination Service Access Point (DSAP) ou o Source Service Access Point (SSAP) para o valor do AA.
SNAP – Contem um OUI composto pelos valores AAAA e o PID (type) igual a 2003.

VTP Header
– Tendo em conta que o cabeçalho VTP é dinamico o seu conteudo pode mudar, mas nao varia muito dos seguintes itens:

Domain Name – Identifica o dominio administrativo.
Domain Name Length – Tamanho do dominio administrativo.
Version – Pode ser VTP1, VTP2 ou VTP3. O comutador 2960 apenas suporta VTP1 e VTP2.
Configuration Revision Number – Identifica a Revision Number em uso no comutador.

VTP Message Type – Dependendo do tipo de mensagem ele pode variar e conter os seguintes campos:

No proximo artigo analisaremos em detalhe os campos VTP Message Type.

Unitel e Ericsson promovem formação

A Unitel e a Ericsson Angola assinaram um protocolo com o Instituto Superior Técnico de Lisboa e a Universidade Católica de Angola, para patrocinar, promover e estabelecer bases de cooperação académica, científica e tecnológica na área da Engenharia de Telecomunicações.

Com esta iniciativa, as quatro entidades envolvidas esperam “colmatar a falta de profissionais de engenharia na área de Telecomunicações, com qualificação superior e de origem angolana, bem como atrair o interesse de cada vez mais estudantes para esta área em Angola”, avançam em comunicado.

A cooperação entre o IST e a UCAN vai concretizar-se através do intercâmbio de experiências e know-how, da prestação de assistência técnica relacionada com a elaboração e implementação de estratégias de desenvolvimento académico, científico e tecnológico, e da realização de programas de desenvolvimento de áreas de Engenharia de Telecomunicações, que sejam relevantes para a UCAN e para Angola.

fonte: http://www.channel-partner.pt/article.php?a=10164

Frame Tagging I

Frame Tagging é a tecnica usada para o encaminhamento de informações entre vlans.Você talvez um dia se tenha perguntado como é possivel que as informações de vlans sejam encaminhadas para as vlans correctas por meio dos trunks entre switchs. Pois, tal é apenas possivel por meio da identificação ou tagging das frames que transportam a informação.

O cabeçalho duma frame ethernet normal, sem tagging é a seguinte (meio tosca, mas dá para perceber):

Como se pode observar acima nao existe nenhma informação sobre vlans. Uma informação (data) que é transmitida da vlan 10 para a vlan 11 precisa de ter uma identificação tal que no nodo destino a mesma possa ser encaminhada a porta que pertence a vlan destino. Daí que uma frame ethernet é modificada adicionando um campo TAG de 4 bytes entre o SA (Source Address) e o Type/Length

Desta forma a frame ethernet passa a possuir 68 para 1522 bytes invez dos 64 para 1518 bytes originais. Como a frame foi alterada um novo FCS é computado. Quando a frame chega ao nodo destino a TAG é retirada o FCS é novamente recomputado e a frame é encaminhada a porta que pertence a vlan destino.

Existem 2 protocolos de trunking bastante conhecidos: O ISL pertencente a cisco e o IEEE 802.1q o mais utilizado por ser um padrão aberto.

No proximo artigo falaremos do protocolo IEEE 802.1q.