Sélectionner une page
Les Certifications Cisco
Cours Gratuit

VLAN-VTP DANGER

Dans ce cours, nous allons voir en détail, le danger que peut représenter le protocole VTP en pleine prod, car un switch en mode vtp client peut prendre le dessus sur un switch en mode VTP serveur, s’il a uniquement un numéro de révision supérieur !

Pour voir ça en détail, nous allons utiliser la même topologie, mais cette fois-ci, seul le switch A sera en mode VTP serveur. Le B et C sont en mode client. Le domaine VTP s’appelle « FORMATION »

|On créer 3 vlan sur le switch A

|Et on ajoute un port du switch A, dans le vlan imprimante

|Si on exécute un « show vtp status » sur l’ensemble des switches, on note qu’ils ont tous un numéro de révision en « 4 »

|un « show vlan » nous montre que tous les switchs se sont bien synchronisés avec le switch A.

On voit aussi que le port fa0/1 du switch A, fait bien parti du vlan 10.

|On va couper les 2 interfaces du switch C, pour le sortir de la prod et faire des tests temporaires dessus !

|On va le mettre en mode « serveur »,

ajouter des vlan’s pour faire des tests

et une fois qu’on à bien jouer avec, on va supprimer l’ensemble de ces vlan’s


Ensuite on le remet en prod, en mode « client », pensant qu’il récupérera ses vlan’s du switchA qui est en mode « serveur » !

On remarque qu’avec les manips qu’on a faites, | le numéro de révision est maintenant passé à « 11 »

| Il nous reste plus qu’à remontée les interfaces pour remettre le switch C, en prod !

|Et là, c’est un peu le drame, on s’aperçoit que les switches A et B ont le même numéro de révision que le switch C, car ils se sont synchronisés avec lui !!!

|Un « show vlan » nous montre que tous nos vlan’s ont disparu….

|Et notre interface qui était dans le vlan imprimante ne fait plus partit d’aucun VLAN !

car il à été supprimé !

Il ne fait même pas partie du vlan par défaut !

C’est pourquoi, avant de mettre n’importe quel switch en prod, il faut bien vérifier le numéro de révision, pour ne pas causer de gros problème avec la prod !!!

|Pour réinitialiser le numéro de révision, il y’a deux possibilités :

  • -soit, changer le nom du domaine VTP
  • -ou bien supprimer le fichier « vlan.dat » de la mémoire flash

L’une de ces deux modifications a pour effet de reset le numéro de révision.

Pour éviter ce genre d’incident, il est conseiller de plutôt utiliser le mode VTP Transparent et de créer les vlan’s en local !

Les Certifications Cisco
Cours Gratuit
Les Certifications Cisco
Cours Gratuit
Share This