知己知彼 用VLAN技术防御黑客攻击

核心提示： 交换机在VTP域中以三种模式之一来工作：服务器模式、客户模式、透明模式，默认为服务器模式，知己知彼 用VLAN技术防御黑客攻击(8)，但只有当一个管理域名被指定或获知后，其VLAN信息才会被通告出去，在Cisco的交换机上，缺省的VTP配置：VTP的缺省配置取决于交换机型号和软件版本VTP

交换机在VTP域中以三种模式之一来工作：服务器模式、客户模式、透明模式。默认为服务器模式，但只有当一个管理域名被指定或获知后，其VLAN信息才会被通告出去。VTP通告被泛洪到整个VTP域，通常每隔5分钟或VLAN配置发生改变时，都会产生VTP通告。VTP通告通过厂家默认的VLAN(VLAN l)使用组播帧传送，包含在VTP通告中的VLAN配置版本号起着关键的作用，高版本号表明所通告的VLAN信息比原来储存的信息更新。

在同步VLAN信息之前，接收VTP通告的设备必须检查各种参数：首先检查VTP域名、域密码是否与本地交换机所配置的相匹配，接着检查配置版本号是否比现在保存版本号更高，如果是这样的话交换机就同步通告的VLAN信息，这种信息同步是采用覆盖(overwrite)的方式。如果要复位当前的配置版本号，用命令delete vtp。

VTP服务器每次调整VLAN信息时，就会让配置版本号递增1，并用新的配置版本号发出VTP通告。在VTP的透明模式下，配置版本号总是为0。

VTP裁剪(Pruning)用VLAN通告来决定什么时候在干道连接上泛洪是不必要的。缺省地，在VTP域中干道连接承载所有VLAN的数据，在企业网络中往往不是每个交换机上都有接口划分到所有VLAN，VIP修剪功能通过限制泛洪数据传到那些不必要的主干链路来增加可用的带宽。修剪功能只能在VTP服务器上启用。

在回顾了VTP的基本原理后，我们在来看看，在Cisco的交换机上，缺省的VTP配置：

VTP的缺省配置取决于交换机型号和软件版本

VTP模式：缺省地设置为VTP服务器模式

VTP裁剪： 2950,3550等关闭

VTP版本：VTP协议有版本1和版本2

VTP域名：可以直接指定或从通过干道链路学来。缺省地交换机没有VTP域名。

VTP密码：无