VTP hiba hálózaton

Sziasztok!

 

Történt egy kis gebasz nálunk. Megállt a hálózat. Miután újraindítottunk néhány switchet, helyreállt a történet, de még nem voltak változtatások.

A naplófájlokban találtam egy olyan érdekes bejegyzést, miszerint az egyik routerünk ugrált az egyik switch portjai között:

"host xyz in vlan1 is flapping between port Gi1/0/22 and port Gi1/1/1" Ez úgy hatszor lejátszódott csak a két port a logban néha helyet cserélt.
Aztán jöttek ezek az üzenetek:

"Blocking GigabitEthernet1/0/20 on VLAN0001. Inconsistent peer vlan." De volt inconsistent local vlan is, aztán volt néhány üzenet, hogy Unblocking port on vlan. Port consistency restored. Ezek az üzenetek több VLAN-t is érintettek.

A legérdekesebb viszont ez volt:

"Received BPDU with inconsistent peer vlan id 191 on Gigabit Ethernet1/0/20 VLAN1."
 

Ránéztem a vtp státuszra néhány switchben és azt vettem észre, hogy:
mindegyik server módban van
"Configuration last modified by 'x' at 3-31-20 10:34:10
Local updater ID is 'saját címe' on interface Vl1 (lowest numbered VLAN interface found)"

Természetesen a VTP domain név mindenhol egyezik és configuration revision number is.
 

Valahogy azt kellene megoldani, hogy az összes switch kliens módba kerüljön egy kivételével, mert itt a "Configuration last modified by 'x' at 3-31-20 10:34:10" nem éppen az az eszköz, aminek a VTP konfigot kéne szórnia. Az már csak egy költői kérdés, hogy ha március 31-én volt a konfiguráció változás, akkor miért most jött elő 2 nappal ezelőtt?

 

Valaki nyugtasson meg, hogy nem kell végigjárnom az összes eszközt és kézzel beállítani őket client módba. Ezek után lenne értelme még megnövelni a revision numbert?

Sajna VTP-ben nem vagyok annyira jártas. 2x tanították, ott és akkor értettem, aztán elkezdtem felejteni mert nem használtam soha. Ezt a hibát valószínűleg egy figyelmetlen konfigurálás okozhatta valaki által. Most nekem kell gondolkodni a megoldáson, hogy legközelebb lehetőleg ne forduljon elő. Ha valakinek van tippje, azt szívesen veszem. Közben elő kell majd keresnem a VTP-s jegyzeteimet.

Hozzászólások

Mindenkit VTP transparent-be rakni, es kezzel menezselni a vlan-okat minden switch-en egyedileg? :)

Ezek Ciscos swicheck ugye?

Ha igen és támogatják akkor a VTP verziót állítsd át 3-ra és akkor csak az 

az 1 szerver szerkeszthető akit te kinevezel és többé nem lesz olyan, hogy

valaki szerver lesz és szétcseszi a hálózatott.

 

Egy kis olvasni való hozzá:

https://networklessons.com/switching/vtp-version-3

Igen, cisco. Az a gond, hogy néhány switch csak 2-es verziót ismer. Nagyjából másfél éve vettünk egy csomó újat, amik már tudják a 3-as verziót de tudomásom szerint nem volt rajta vtp használatban. Aztán márciusban valaki valamit változtatott a konfiguráción. Gondolom onnan indulhatott ez a történet. A vicc az, hogy az összes új eszköz server módban van. 

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Ha nem 2950-eseitek vagy 3550-eseitek van akkor támagatja, a 3650/3750-es szériába is bekerült az utolsó IOS verziókkal.

Ja és úgy emlékszem visszafele kompatibilis, elvileg VTP 2-őt tudó switch is lehet tagja VTP3-as domainek. De ilyet még nem próbáltam.

 

Szóval megnézném őket és ha kell frissítenék IOS-t, ha nem tudsz tölteni akkor keress privátban.

eletemben nem lattam senkit vtpt eles rendszerben hasznalni, laboron kivul

Nálunk oktatáson külön felhívták a figyelmet erre. Lehet, hogy szegényem nem volt tanfolyamon. Vagy nem figyelt. Alapszabály, hogy ismeretlen helyről származó vagy ismeretlen konfiggal rendelkező eszközt gyalulunk mielőtt a hálózatra tesszük. Nálunk nem is volt ezzel gond, csak most hirtelen lett valami és nem tudom mi de nem akarok b.sztatni érte senkit mert szerencsére nem lett nagyobb baj (bár lehetett volna). Különben sem az én dolgom mások cseszegetése, csak majd ki kell találnom mi okozta a hibát, mert várják a magyarázatot.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

szerintem meg nyugodtan dugjon be barmit, ha a tobbi eszkoz random eszkozrol elfogad ilyen kaliberu infot, ott gond van a konfigokkal.

 

mint minden rendes kornyezetben nalatok is gondolom tarolva vannak datumozva a konfig diffek (legalabb gitben), igy egyszeru megnezi mikor, es ki volt :-)

gondolhatod...
Amióta itt vagyok, van egy NMS, oszt csókolom. Előtte még az sem. Ez is akkor született, mikor egy csomó loop miatt random megállt a hálózat és a logokat sem tudtam kiolvasni, reboot után pedig már mindegy volt.

Az a gond, hogy rajtam kívül senkit nem érdekel ez. Mikor valami kell éppen akkor belenyúl az akárki a configba. Legjobb esetben annyi látszik, hogy mikor/honnan volt login és utána nagyjából mi történhetett. Én viszont csak elméletben tudom, hogy nagyjából mire lenne szükség. Gyakorlati megvalósítást sokszor úgy csinálok, hogy előtte megpróbálom külön szeparáltan tesztelni vagy virtualizálva (de annak elég vaskos erőforrásigénye van). Elméletileg a konfigot készen kapjuk, helyben jellemzően annyi a feladat csak, hogy portok tiltása/engedélyezése, eszköz csere esetén trönk port, snmp... ilyen alap dolgok. Szökőévente születik egy-egy új VLAN. 

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Ha a felelősség a tiéd, viszont a kontrollt nem tudod biztosítani, mert mindenki tudja a jelszót és belepiszkálhat kedvére, onnan jobb lelépni még azelőtt, mielőtt valami nagy gebasznál téged fognak előszedni. Mert hogy gebasz lesz, az borítékolható ilyen helyeken, max. utóbb mint előbb, de akkor is lesz. Ha más nem, vmi haragos kirúgott fog belenyúlni az utolsó napján.

Kapcsolódó fotó:

"This is why you should restrict access to the server room before firing your IT guy"

https://i.imgur.com/c3DBZyD.jpg

A vtp domain-hez hozzá lehet rendelni password-öt, így elkerülhető az ha régi eszközt kötnek rá a hálózatra és szerver módban fut akkor ne vágja felül az éles konfigot.

--
Mózes Gábor

ezért kell MINDIG kikapcsolni a VTP!!! :) (vagyis transparent legyen...)

Én használom minden gond nélkül, 100 fölötti vlan szám és 20 körüli switch mennyiségnél nagy áldás tud lenni, ha nem kell egyesével felvenni őket.

Jó a VTP csak tudni kell használni.