VLAN Trunking Protocol

VTP son las siglas de VLAN Trunking Protocol, un protocolo de mensajes de nivel 2 usado para configurar y administrar
VLANs en equipos Cisco. Permite centralizar y simplificar la administracin en un domino de VLANs, pudiendo crear,
borrar y renombrar las mismas, reduciendo as la necesidad de configurar la misma VLAN en todos los nodos. El
protocolo VTP nace como una herramienta de administracin para redes de cierto tamao, donde la gestin manual se
vuelve inabordable.

VTP opera en 3 modos distintos:

Servidor

Cliente

Transparente

Servidor:

Es el modo por defecto. Desde l se pueden crear, eliminar o modificar VLANs. Su cometido es anunciar su configuracin
al resto de switches del mismo dominio VTP y sincronizar dicha configuracin con la de otros servidores, basndose en
los mensajes VTP recibidos a travs de sus enlaces trunk. Debe haber al menos un servidor. Se recomienda autenticacin
MD5.

Cliente:

En este modo no se pueden crear, eliminar o modificar VLANs, tan slo sincronizar esta informacin basndose en los
mensajes VTP recibidos de servidores en el propio dominio. Un cliente VTP slo guarda la informacin de la VLAN para el
dominio completo mientras el switch est activado. Un reinicio del switch borra la informacin de la VLAN.

Transparente:

Desde este modo tampoco se pueden crear, eliminar o modificar VLANs que afecten a los dems switches. La
informacin VLAN en los switches que trabajen en este modo slo se puede modificar localmente. Su nombre se debe a
que no procesa las actualizaciones VTP recibidas, tan slo las reenva a los switches del mismo dominio.

Los administradores cambian la configuracin de las VLANs en el switch en modo servidor. Despus de realizar cambios,
estos son distribuidos a todos los dems dispositivos en el dominio VTP a travs de los enlaces permitidos en
el trunk (VLAN 1, por defecto), lo que minimiza los problemas causados por las configuraciones incorrectas y las
inconsistencias. Los dispositivos que operan en modo transparente no aplican las configuraciones VLAN que reciben, ni
envan las suyas a otros dispositivos. Sin embargo, aquellos que usan la versin 2 del protocolo VTP, enviarn la
informacin que reciban (publicaciones VTP) a otros dispositivos a los que estn conectados con una frecuencia de 5
minutos. Los dispositivos que operen en modo cliente, automticamente aplicarn la configuracin que reciban del
dominio VTP. En este modo no se podrn crear VLANs, sino que slo se podr aplicar la informacin que reciba de las
publicaciones VTP.

Para que dos equipos que utilizan VTP puedan compartir informacin sobre VLAN, es necesario que pertenezcan al
mismo dominio. Los switches descartan mensajes de otro dominio VTP.

Las configuraciones VTP en una red son controladas por un nmero de revisin. Si el nmero de revisin de una
actualizacin recibida por un switch en modo cliente o servidor es ms alto que la revisin anterior, entonces se aplicar
la nueva configuracin. De lo contrario se ignoran los cambios recibidos. Cuando se aaden nuevos dispositivos a un
dominio VTP, se deben resetear los nmeros de revisin de todo el dominio VTP para evitar conflictos. Se recomienda
tener mucho cuidado al usar VTP cuando haya cambios de topologa, ya sean lgicos o fsicos. Realmente no es necesario
resetear todos los nmeros de revisin del dominio. Slo hay que asegurarse de que los switches nuevos que se
agreguen al dominio VTP tengan nmeros de revisin ms bajos que los que estn configurados en la red. Si no fuese as,
bastara con eliminar el nombre del dominio del switch que se agrega. Esa operacin vuelve a poner a cero su contador
de revisin.

El VTP slo aprende sobre las VLAN de rango normal (ID de VLAN 1 a 1005). Las VLAN de rango extendido (ID mayor a
1005) no son admitidas por el VTP. El VTP guarda las configuraciones de la VLAN en la base de datos de la VLAN,
denominada vlan.dat.

Seguridad VTP
VTP puede operar sin autenticacin, en cuyo caso resulta fcil para un atacante falsificar paquetes VTP para aadir,
cambiar o borrar la informacin sobre las VLANs. Existen herramientas disponibles gratuitamente para realizar esas
operaciones. Debido a eso se recomienda establecer un password para el dominio VTP y usarlo en conjunto con la
funcin hash MD5 para proveer autenticacin a los paquetes VTP. Resulta de vital importancia para los enlaces troncales
de la VLAN.

Mensajes VTP
Los paquetes VTP se pueden enviar tanto en tramas Inter-Switch Link (ISL) como en tramas IEEE 802.1Q (dot1q). El
formato de los paquetes VTP encapsulados en tramas ISL es el siguiente:

En el caso de paquetes VTP encapsulados en dot1q, tanto la cabecera ISL (ISL Header) como CRC son sustituidos por
etiquetas dot1q. Por otro lado, salvo el formato de la cabecera VTP (VTP Header), que puede variar, todos los paquetes
VTP contienen los siguientes campos en la cabecera:

Versin del protocolo VTP: 1, 2 o 3

Tipos de mensaje VTP:

Resumen de advertencias

Subconjunto de advertencias

Peticiones de advertencias

Mensajes de unin VTP

Longitud del dominio de control

Nombre del dominio de control

Nmero de configuracin de revisin
El nmero de configuracin de revisin es un nmero de 32 bits que indica el nivel de revisin del paquete VTP. Cada
nodo VTP rastrea el nmero de configuracin de revisin que le ha sido asignado. La mayora de paquetes VTP contienen
el nmero de configuracin de revisin del emisor.

La informacin que aporta el nmero de configuracin de revisin se usa para saber si la informacin recibida es ms
reciente que la actual. Cada vez que hay un cambio en la configuracin de la VLAN en algn dispositivo VTP del dominio,
el nmero de configuracin de revisin se incrementa en una unidad. Para resetearlo, basta con cambiar el nombre del
dominio VTP y despus restablecerlo.

Publicacin de resmenes
Los switches Catalyst emiten, por defecto, publicaciones resumidas que informan a los dems switches del nombre
actual del dominio VTP, as como de su nmero de revisin.

Cuando un switch recibe un paquete de resumen, compara su propio nombre de dominio VTP con el recibido. Si el
nombre es diferente ignora el paquete, y si es igual, compara el nmero de revisin propio con el recibido. Si el nmero
de revisin es menor o igual, ignora el paquete, y si no, enva una solicitud de publicacin (ya que el switch est
desactualizado).

El formato de los paquetes de resumen es el siguiente:

La siguiente lista aclara los campos del paquete de publicacin de resmenes:

El campo Followers (seguidores) indica que el paquete precede a un paquete de publicacin de subconjunto.

El campo Updater Identity (identidad del actualizador) es la direccin IP del ltimo switch que increment el nmero de
configuracin de revisin.

El campo Update Timestamp (sello de momento de actualizacin) indica la fecha y la hora del ltimo incremento del
nmero de configuracin de revisin.

El campo Message Digest 5 (algoritmo MD5) porta la contrasea VTP, si se configura y usa MD5 para autenticar la
validacin de una actualizacin VTP.

Publicaciones de subconjuntos
Cuando se cambia la configuracin VLAN en un switch, ste incrementa el nmero de revisin y enva una publicacin de
resumen. A una publicacin de resumen le pueden seguir una o ms publicaciones de subconjunto, que contienen una
lista de informacin referente a VLANs. Si hay varias VLANs, se puede requerir ms de una publicacin para informar a
todas ellas.

El formato de los paquetes de subconjunto es el siguiente:

Este ejemplo muestra que los campos de informacin VLAN son exclusivos de cada VLAN:

Hay dos aclaraciones pertinentes respecto a los campos del paquete:

El campo Code (cdigo) tiene un formato de 0x02 para publicaciones de subconjunto.

El campo Sequence number (nmero de secuencia) contiene el nmero de secuencia (que empieza por 1) del paquete en
el flujo de paquetes tras una publicacin de resumen.

Solicitudes de publicacin
Un switch necesita solicitar publicaciones VTP en las siguientes situaciones:

El switch ha sido reseteado.

El nombre del dominio VTP ha sido cambiado.

El switch ha recibido una publicacin de resumen cuyo nmero de revisin es mayor que el suyo propio.

Cuando un nodo VTP recibe una solicitud de publicacin, enva una publicacin de resumen y, como se ha descrito antes,
una o ms publicaciones de subconjunto. Por ejemplo:

En este caso, el campo Code (cdigo) tiene un formato de 0x03 para publicaciones de subconjunto.

El campo Start value (valor de comienzo) se usa cuando hay varios subconjuntos.

VTP Pruning (Poda)

El protocolo VTP trata de asegurar que todos los switches del dominio estn al tanto de lo que sucede en todas las
VLANs. No obstante, hay situaciones en las que VTP genera trfico innecesario. Todos los envos unicast desconocidos y
broadcast inundan la VLAN entera. Estos ltimos son recibidos por todos los switches de la red incluso habiendo pocos
usuarios conectados a la VLAN. La poda VTP (pruning) se usa para filtrar este trfico innecesario.

El siguiente grfico muestra el trfico broadcast en una red sin poda:

Los puertos 1 y 2 de los switches A y D respectivamente estn asignados a la VLAN roja. Si una trama broadcast se enva
desde algn host conectado al switch A, ste reenva dicha trama a todos los switches de la red (inundacin, flooding),
recibindola incluso los switches C, E y F, que no tienen puertos asignados a la VLAN roja.

En contraposicin, el grfico siguiente muestra los beneficios del pruning:

En este caso, el trfico broadcast del switch A no es reenviado a los switches C, E y F, ya que el trfico de la VLAN roja ha
sido filtrado en los puertos 4 y 5 de los switches D y B respectivamente.

Cuando est habilitada la poda VTP en un servidor VTP, lo est para todo el dominio. Cabe destacar que el trfico de las
VLANs 1002-1005 no puede ser podado (filtrado).

Sobre el uso de VTP

El modo por defecto de los swithes es el de servidor VTP. Se recomienda el uso de este modo para redes de pequea
escala en las que la informacin de las VLANs es pequea y por tanto de fcil almacenamiento en las NVRAMs de los
switches.

En redes de mayor tamao, el administrador debe elegir qu switches actan como servidores, basndose en las
capacidades de stos (los mejor equipados sern servidores y los dems, clientes).

Configuracin VTP
Los comandos IOS ms utilizados para la configuracin de un dominio VTP son los siguientes:

Switch#vlan database

Selecciona el modo de creacin y edicin de VLANs.

Switch(vlan)#vtp domain nombre-dominio

Nombre del dominio VTP.

Switch(vlan)#vtp [mode] {server | client | transparent}

Seleccin del modo VTP del switch.

Switch(vlan)#vtp pruning

Permite la poda en el dominio VTP.

Switch#show vtp status

Permite verificar la configuracin del dominio VTP.

Switch(config-if)# switchport mode trunk

Configura un puerto en modo trunk.

Switch(config-if)# switchport trunk native vlan 2

Configura la VLAN como predeterminada.

Switch(config-if)# switchport trunk {allowed | pruning} vlan [add|all|except|remove] vlan-list

Configura las VLANs permitidas (allowed) o filtradas (pruning).