По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В предыдущем материале мы рассмотрели, как работает Интернет на базовом уровне, включая взаимодействие между клиентом (вашим компьютером) и сервером (другим компьютером, который отвечает на запросы клиента о веб-сайтах).
В этой же части рассмотрим, как устроены клиент, сервер и веб-приложение, что мы можем удобно серфить в Интернете.
Модель клиент-сервер
Эта идея взаимодействия клиента и сервера по сети называется моделью «клиент-сервер». Это делает возможным просмотр веб-сайтов (например, сайт wiki.merionet.ru) и взаимодействие с веб-приложением (как Gmail).
На самом деле, модель клиент-сервер - это ни что иное, как способ описать отношения между клиентом и сервером в веб-приложении. Это детали того, как информация переходит от одного конца к другому, где картина усложняется.
Базовая конфигурация веб-приложения
Существует сотни способов настройки веб-приложения. При этом большинство из них следуют одной и той же базовой структуре: клиент, сервер, база данных.
Клиент
Клиент - это то, с чем взаимодействует пользователь. Так что «клиентский» код отвечает за большую часть того, что на самом деле видит пользователь. Это включает в себя:
Определение структуры веб-страницы
Настройка внешнего вида веб-страницы
Реализация механизма пользовательского взаимодействия (нажатие кнопок, ввод текста и т.д.)
Структура: Макет и содержимое веб-страницы определяются с помощью HTML (обычно HTML 5, если речь идет о современных веб-приложениях, но это другая история.)
HTML означает язык гипертекстовой разметки (Hypertext Markup Language). Он позволяет описать основную физическую структуру документа с помощью HTML-тэгов. Каждый HTML-тэг описывает определенный элемент документа.
Например:
Содержимое тега «<h1>» описывает заголовок.
Содержимое тега «<p>» описывает абзац.
Содержимое тега «<button>» описывает кнопку.
И так далее...
Веб-браузер использует эти HTML-тэги для определения способа отображения документа.
Look and Feel: Чтобы определить внешний вид веб-страницы, веб-разработчики используют CSS, который расшифровывается как каскадные таблицы стилей (Cascading Style Sheets). CSS - это язык, который позволяет описать стиль элементов, определенных в HTML, позволяя изменять шрифт, цвет, макет, простые анимации и другие поверхностные элементы.
Стили для указанной выше HTML-страницы можно задать следующим образом:
Взаимодействие с пользователем: Наконец, для реализации механизма взаимодействия с пользователем, на сцену выходит JavaScript.
Например, если вы хотите что-то сделать, когда пользователь нажимает кнопку, вы можете сделать что-то подобное:
Иногда взаимодействие с пользователем, может быть реализовано без необходимости обращения к вашему серверу - отсюда и термин "JavaScript на стороне клиента". Другие типы взаимодействия требуют отправки запросов на сервер для обработки.
Например, если пользователь публикует комментарий в потоке, может потребоваться сохранить этот комментарий в базе данных, чтобы весь материал был структурирован и собран в одном месте. Таким образом, вы отправляете запрос на сервер с новым комментарием и идентификатором пользователя, а сервер прослушивает эти запросы и обрабатывает их соответствующим образом.
Сервер
Сервер в веб-приложении прослушивает запросы, поступающие от клиента. При настройке HTTP-сервера он должен прослушивать конкретный номер порта. Номер порта всегда связан с IP-адресом компьютера.
Вы можете рассматривать порты как отдельные каналы на каждом компьютере, которые можно использовать для выполнения различных задач: один порт может быть использован для серфинга на wiki.merionet.ru, в то время как через другой получаете электронную почту. Это возможно, поскольку каждое из приложений (веб-браузер и клиент электронной почты) использует разные номера портов.
После настройки HTTP-сервера для прослушивания определенного порта сервер ожидает клиентские запросов, поступающие на этот порт, выполняет все действия, указанные в запросе, и отправляет все запрошенные данные через HTTP-ответ.
База данных
Базы данных – это подвалы веб-архитектуры - большинство из нас боятся туда спускаться, но они критически важны для прочного фундамента. База данных - это место для хранения информации, чтобы к ней можно было легко обращаться, управлять и обновлять.
Например, при создании сайта в социальных сетях можно использовать базу данных для хранения сведений о пользователях, публикациях и комментариях. Когда посетитель запрашивает страницу, данные, вставленные на страницу, поступают из базы данных сайта, что позволяет нам воспринимать взаимодействие пользователей в реальном времени как должное на таких сайтах, как Facebook или в таких приложениях, как Gmail.
Как масштабировать простое веб-приложение
Вышеописанная конфигурация отлично подходит для простых приложений. Но по мере роста приложения один сервер не сможет обрабатывать тысячи - если не миллионы - одновременных запросов от посетителей.
Чтобы выполнить масштабирование в соответствии с этими большими объемами, можно распределить входящий трафик между группой внутренних серверов.
Здесь все становится интересно. Имеется несколько серверов, каждый из которых имеет собственный IP-адрес. Итак, как сервер доменных имен (DNS) определяет, на какой экземпляр вашего приложения отправить трафик?
Ответ очевиден - никак. Управление всеми этими отдельными экземплярами приложения происходит через средство балансировки нагрузки.
Подсистема балансировки нагрузки действует как гаишник, который маршрутизирует клиентские запросы по серверам как можно быстрее и эффективнее, насколько это возможно.
Поскольку вы не можете транслировать IP-адреса всех экземпляров сервера, вы создаете виртуальный IP-адрес, который транслируется клиентам. Этот виртуальный IP-адрес указывает на подсистему балансировки нагрузки. Таким образом, когда DNS ищет ваш сайт, он указывает на балансировщик нагрузки. Затем подсистема балансировки нагрузки перескакивает для распределения трафика на различные внутренние серверы в реальном времени.
Возможно, вам интересно, как подсистема балансировки нагрузки узнаёт, на какой сервер следует отправлять трафик. Ответ: алгоритмы.
Один популярный алгоритм, Round Robin, включает равномерное распределение входящих запросов по ферме серверов (все доступные серверы). Вы обычно выбираете такой подход, если все ваши серверы имеют одинаковую скорость обработки и память.
С помощью другого алгоритма, Least Connections, следующий запрос отправляется на сервер с наименьшим количеством активных соединений.
Существует гораздо больше алгоритмов, которые вы можете реализовать, в зависимости от ваших потребностей.
Теперь поток трафика выглядит следующим образом:
Службы
Итак, мы решили проблему трафика, создав пулы серверов и балансировщик нагрузки для управления ими.
Но одной репликация серверов может быть недостаточно для обслуживания приложения по мере его роста. По мере добавления дополнительных функциональных возможностей в приложение необходимо поддерживать тот же монолитный сервер, пока он продолжает расти. Для решения этой проблемы нам нужен способ разобщить функциональные возможности сервера.
Здесь и появляется идея служб. Служба является просто другим сервером, за исключением того, что она взаимодействует только с другими серверами, в отличие от традиционного веб-сервера, который взаимодействует с клиентами.
Каждая служба имеет автономную единицу функциональности, такую как авторизация пользователей или предоставление функции поиска. Службы позволяют разбить один веб-сервер на несколько служб, каждая из которых выполняет отдельные функции.
Основное преимущество разделения одного сервера на множество сервисов заключается в том, что он позволяет масштабировать сервисы полностью независимо.
Другое преимущество здесь заключается в том, что он позволяет командам внутри компании работать независимо над конкретной услугой, а не иметь 10, 100 или даже 1000 инженеров, работающих на одном монолитном сервере, который быстро становится кошмаром для менеджера проекта.
Краткое примечание: эта концепция балансировщиков нагрузки и пулов внутренних серверов и служб становится очень сложной, поскольку вы масштабируете все больше и больше серверов в вашем приложении. Это особенно сложно с такими вещами, как, например, сохранение сеанса, обработка отправки нескольких запросов от клиента на один и тот же сервер в течение сеанса, развертывания решения для балансировки нагрузки. Такие продвинутые темы не будет затрагивать в данном материале.
Сети доставки контента (Conten Delivery Network – CDN)
Все вышеперечисленное отлично подходит для масштабирования трафика, но приложение все еще централизовано в одном месте. Когда ваши пользователи начинают посещать ваш сайт из других концов страны или с другого конца мира, они могут столкнуться с длительной задержкой из-за увеличенного расстояния между клиентом и сервером. Ведь речь идет о "всемирной паутине" - не о "местной соседней паутине".
Популярная тактика решения этой проблемы - использование сети доставки контента (CDN). CDN - это большая распределенная система «прокси» серверов, развернутая во многих центрах обработки данных. Прокси-сервер - это просто сервер, который действует как посредник между клиентом и сервером.
Компании с большим объемом распределенного трафика могут платить CDN-компаниям за доставку контента конечным пользователям с помощью серверов CDN. CDN имеет тысячи серверов, расположенных в стратегических географических точках по всему миру.
Давайте сравним, как веб-сайт работает с CDN и без него.
Как мы уже говорили в разделе 1, для типичного веб-сайта доменное имя URL преобразуется в IP-адрес сервера хоста.
Однако если клиент использует CDN, доменное имя URL преобразуется в IP-адрес пограничного сервера, принадлежащего CDN. Затем CDN доставляет веб-контент пользователям клиента, не затрагивая серверы клиента.
CDN может сделать это, сохраняя копии часто используемых элементов, таких как HTML, CSS, загрузки программного обеспечения и медиаобъектов с серверов клиентов.
Главная цель - расположить контент сайта как можно ближе к конечному пользователю. В итоге пользователь получает более быструю загрузку сайта.
Облачная инфраструктура обладает такими преимуществами, как гибкость, масштабируемость, высокая производительность и доступность. После подписки на такую услугу, как Google Cloud Platform (GCP), вам не придется беспокоиться о высоких капитальных затратах и затратах на обслуживание эквивалентного собственного центра обработки данных и связанной с ним инфраструктуры. Однако традиционные методы обеспечения безопасности физической инфраструктуры не обеспечивают достаточной и оперативной безопасности для виртуальных сред.
В отличие от собственного центра обработки данных, в котором защита периметра обеспечивает защиту всей установки и ресурсов, природа облачной среды с различными технологиями и местоположениями требует иного подхода. Обычно децентрализованный и динамический характер облачной среды приводит к увеличению поверхности атаки.
В частности, неправильные настройки на облачных платформах и компонентах открывают доступ к ресурсам, увеличивая скрытые риски безопасности. Иногда разработчики могут открыть хранилище данных при разработке программного обеспечения, но затем оставить его открытым при выпуске приложения на рынок.
Таким образом, в дополнение к передовым практикам в области безопасности необходимо обеспечить правильную конфигурацию, а также возможность обеспечения непрерывного мониторинга, видимости и соответствия нормативным требованиям.
Именно для таких целей существует несколько инструментов, помогающих повысить безопасность за счет обнаружения и предотвращения неправильных настроек, обеспечения видимости состояния безопасности GCP, а также выявления и устранения других уязвимостей.
1. Google Cloud SCC
Google Cloud SCC - это интегрированная система анализа рисков и инструментальной панели, которая позволяет клиентам GCP мониторить состояние безопасности своей инфрастурктуры и предпринять корректирующие действия для защиты облачных ресурсов и активов из единого окна.
Cloud SCC (Security Command Center) обеспечивает видимость ресурсов, работающих в облачной среде Google, а также неправильных настроек представляющих риск взлома, что позволяет командам снизить угроз. Кроме того, комплексный инструмент управления безопасностью и рисками данных помогает клиентам GCP применять передовые практики безопасности.
Базовый командный центр состоит из нескольких средств безопасности от Google. Однако это гибкая платформа, которая интегрируется с широким спектром сторонних инструментов для повышения безопасности и расширения охвата с точки зрения компонентов, рисков и практик.
Основные возможности Google Cloud SCC
Обнаружение и устранение неправильно настроенных, таких как брандмауэры, правила IAM и т.д.
Обнаружение, реагирование и предотвращение угроз и проблем соответствия нормативным требованиям
Выявление большинства уязвимостей вроде смешанного содержимого, флэш-инъекции и многих других, позволяя при этом легко исследовать результаты.
Определение общедоступных ресурсов, таких как виртуальные машины, экземпляры SQL, сегменты, наборы данных и т.д.
Обнаружение и инвентаризация активов, выявление уязвимостей, конфиденциальных данных и аномалий,
Интегрируется со сторонними инструментами для улучшения идентификации и адресации скомпрометированных конечных точек, сетевых атак, DDoS, нарушений политик и нормативно-правового соответствия, уязвимостей и угроз.
Как правило, центр управления безопасностью представляет собой гибкое решение, отвечающее потребностям каждой организации. Инструмент интегрируется с различными инструментами безопасности Google, такими как Cloud Data Loss Prevention, Web Security Scanner, а также с решениями сторонних производителей, такими как McAfee, Qualys, CloudGuard и другими.
2. Forseti
Forseti - это решение с открытым исходным кодом, который помогает получить представление о вашей среде GCP, устранить уязвимости, а также отслеживать и понимать политики и соответствие нормативным требованиям. Он состоит из различных базовых модулей, которые можно легко включать, настраивать и выполнять независимо.
Существует также несколько дополнительных модулей для расширения возможностей и настройки Forseti.
Основные возможности Forseti
Отслеживает ресурсы GCP, на наличие правильно настроенных функций безопасности, вроде контроля доступа и защищает их от несанкционированных изменений.
Выполняет инвентаризацию ресурсов и отслеживает среду GCP.
Разработка и применение политик и правил безопасности и межсетевого экрана
Оценка параметров на соответствие требованиям и отсутствие утечек и лишних доступов к ресурсам GCP.
Исследование политик Cloud Identity and Access Management (Cloud IAM), а также уровня доступов пользователей к ресурсам.
Имеет визуализатор, который помогает понять структуру безопасности GCP, а также выявить несоблюдение политик и нарушения.
3. Cloud Guard
CloudGuard - это облачное безагентное решение для обеспечения безопасности, которое оценивает и визуализирует состояние безопасности платформы GPC, тем самым позволяя группам защитить свои облачные ресурсы и среду. Решение анализирует различные ресурсы, включая вычислительный механизм, базы данных, виртуальные машины и другие службы, а также сетевые брандмауэры и многое другое.
Основные возможности Cloud Guard
Непрерывный мониторинг политик и событий безопасности, обнаружение изменений и проверку соответствия требованиям.
Выявление и устранение неправильных настроек, а также уязвимостей и связанных с ними угроз безопасности.
Укрепление безопасности и обеспечение соответствия нормативам и передовым практикам.
Мощная визуализация и безопасность сетевых ресурсов GCP
Легко интегрируется с GCP, а также с другими общедоступными облаками, такими как веб-службы Amazon и Microsoft Azure.
Применение политик управления, которые удовлетворяют уникальные потребности организации в безопасности.
4. Cloudsploit
Cloudsploit - это мощное решение, которое проверяет и автоматически обнаруживает проблемы конфигурации безопасности в Google Cloud Platform, а также в других общедоступных облачных сервисах, таких как Azure, AWS, Github и Oracle.
Решение безопасности подключается к проектам GCP, где обеспечивает мониторинг различных компонентов. Оно обеспечивает обнаружение неправильных настроек безопасности, вредоносных действий, незащищенных активов и других уязвимостей.
Особенности Cloudsploit
Простое развертывание и использование решения для мониторинга конфигурации безопасности с функцией оповещения
Быстрое и надежное сканирование точек и создание отчетов
Дает представление о состоянии безопасности и нормативно-правовом соответствии
Проверяет системы при анализе привилегий, ролей, сетей, сертификатов, тенденций использования, аутентификации и различных конфигураций.
Предоставляет обзоры уровня счета, которые позволяют просматривать и легко определять тенденции и относительные уровни риска с течением времени.
Конструкция на основе API, которая упрощает интеграцию инструмента с различными панелями мониторинга CISO и другими системами отчетности.
5. Prisma Cloud
Prisma cloud - интегрированное облачное решение, обеспечивающее надлежащее внедрение и поддержку безопасности и соответствия требованиям GCP-среды, приложений и ресурсов.
Комплексный инструмент имеет API-интерфейсы, которые легко интегрируются со службой GCP, обеспечивая непрерывную аналитику, защиту и отчетность в дополнение к обеспечению соответствия нормативным требованиям.
Особенности Prisma Cloud
Комплексное масштабируемое решение для обеспечения безопасности на основе API, обеспечивающее анализ, непрерывный мониторинг, обнаружение угроз и быстрое реагирование.
Полная видимость, позволяющая выявлять и устранять неправильные конфигурации, уязвимости рабочей нагрузки, сетевые угрозы, утечку данных, небезопасные действия пользователей и многое другое
Защищает рабочие нагрузки, контейнеры и приложения, работающие на облачной платформе Google.
Настраиваемое применение политик безопасности на основе приложений, пользователей или устройств.
Простое применение политик управления и соблюдение широкого спектра стандартов, включая, в частности, NIST, CIS (Центр интернет-безопасности), GDPR, HIPAA и PCI.
6. Cloud Custodian
Cloud custodian - это система правил с открытым исходным кодом, гибкая и легкая система управления облачной безопасностью и доступами. Решение позволяет безопасно управлять учетными записями и ресурсами GCP. В дополнение к безопасности интегрированное решение помогает оптимизировать затраты, управляя использованием ресурсов, что позволяет экономить средства.
Особенности Cloud Custodian
Обеспечение соблюдения политик безопасности и соответствия нормативным требованиям в реальном времени в таких областях, как управление доступом, правила межсетевого экрана, шифрование, теги, сбор мусора, автоматизированное управление ресурсами в нерабочее время и т.д.
Предоставляет унифицированные метрики и отчеты
Легко интегрируется с функциями Google Cloud Platform
Автоматическое предоставление GCP AuditLog и других функций без сервера.
7. McAfee MVISION
McAfee MVISION - это решение для обеспечения безопасности, которое интегрируется с Google Cloud SCC и позволяет командам получать информацию о состоянии безопасности ресурсов GCP, обнаруживать и устранять уязвимости и угрозы.
Кроме того, "облачное" решение обеспечивает аудит конфигурации, который позволяет группам безопасности выявлять скрытые риски и устранять их. Данный продукт имеет механизмы облачной политики, которые улучшают запросы GCP, что позволяет находить широкий спектр неправильных настроек безопасности в различных службах GCP.
Особенности McAfee MVISION
Предоставляет информацию, которая помогает группам выявлять и устранять проблемы безопасности и несоответствия нормативным требованиям.
Повышает эффективность и охват аудита конфигураций для обнаружения скрытых уязвимостей, что позволяет командам применять передовые практики.
Обеспечивает видимость, чтобы предоставить командам возможность расследовать инциденты, аномалии, нарушения и угрозы безопасности, что позволяет быстро выполнять действия по устранению неполадок в командном центре облачной безопасности.
Уведомления об угрозах безопасности или нарушениях политики.
Визуализация уязвимостей и угроз на панелях мониторинга Google Cloud SCC.
8. Netskope
Netskope позволяет быстро выявлять и устранять проблемы безопасности, угрозы и неправильные настройки, которые подвергают цифровые ресурсы угрозам атак.
В дополнение к GSCC в защите вычислительных экземпляров, объектного хранилища, баз данных и других ресурсов, Netskope углубляется и расширяется, чтобы получить представление о неправильных конфигурациях, расширенных угрозах и рисках.
Особенности Netskope
Предоставляет информацию об угрозах, уязвимостях, неправильных конфигурациях и нормативно-правовом несоответствии на облачной платформе Google в режиме реального времени.
Выявление и устранение любых уязвимостей, неправильных настроек, несоответствий нормативным требованиям и угроз безопасности.
Постоянно отслеживает настройки безопасности и проверяет их на соответствие передовым практикам. Выявляет проблемы и обеспечивает соблюдения стандартов на основе передовых практики и контрольных показателей CIS.
Отчетность по соответствию нормативным требованиям - выполняет инвентаризацию ресурсов GCP для определения и сообщения о неправильных конфигурациях и аномалиях.
9. Tripwire
Tripwire Cloud Cybersecurity - это комплексное решение, которое позволяет организациям внедрять эффективные конфигурации безопасности и средства управления, предотвращая тем самым раскрытие своих цифровых ресурсов. Она сочетает в себе функции управления конфигурациями, оценки управления облаком (CMA) и мониторинга целостности файлов для определения общедоступных ресурсов и данных в GCP.
Ключевые функции Tripwire
Обнаружение и обращение к общедоступным хранилищам GCP или экземплярам для обеспечения надлежащей конфигурации и безопасности данных.
Собирает, анализирует, а затем оценивает данные конфигурации GCP, что позволяет выявлять и устранять неправильные конфигурации.
Мониторинг изменений конфигурации, которые ставят под угрозу облако GCP или открывают ресурсы
Оценщик управления облаком Tripwire отслеживает работу облачной платформы Google Cloud Platform на предмет неправильных настроек, при которых она предупреждает группы безопасности о необходимости исправления.
10. Scout Suite
Scout Suite - инструмент аудита безопасности с открытым исходным кодом для GCP и других общедоступных облаков. Она позволяет группам безопасности оценивать состояние безопасности в средах GCP, выявлять неправильную конфигурацию и другие уязвимости.
Инструмент проверки конфигурации Scout Suite легко взаимодействует с API, которые предоставляет Google, для сбора и анализа данных о состоянии безопасности. Затем она выделяет все обнаруженные уязвимости.
11. Aqua Security
Aqua Security - это платформа, которая предоставляет организациям визуальное представление о GCP и других AWS, Oracle Cloud, Azure. Она упрощает обеспечение соответствия политикам и нормативам.
Aqua интегрируется с Cloud Security Command Center компании Google, другими решениями сторонних производителей, а также инструментами анализа и мониторинга. Это обеспечивает возможность просмотра и управления безопасностью, политиками и соответствием нормативным требованиям буквально через один центр.
Особенности Aqua Security
Сканирование образов, выявление и устранение неправильных настроек, вредоносных программ и уязвимостей
Обеспечение целостности образов в течение всего жизненного цикла приложения
Определение и обеспечение соблюдения привилегий и стандартов соответствия, таких как PCI, GDPR, HIPAA и т.д.
Обеспечивает расширенные меры по обнаружению угроз и их устранению для рабочих нагрузок контейнеров GCP.
Создание и применение политик безопасности на образы для предотвращения запуска скомпрометированных, уязвимых или неправильно настроенных образов в среде Google Kubernetes Engine
Платформа логирует все действия создавая аудиторскую траекторию для криминалистики.
Он обеспечивает непрерывное сканирование параметров для поиска уязвимостей и аномалий.
12. GCPBucketBrute
GCPBucketBrute - это настраиваемое и эффективное решение защиты с открытым исходным кодом для обнаружения открытых или неправильно настроенных сегментов Google Storage. Как правило, это сценарий, который перечисляет сегменты хранилища Google, чтобы установить наличие небезопасной конфигурации и эскалации привилегий.
Особенности GCPBucketBrute
Обнаруживает открытые сегменты GCP, а также опасные эскалации привилегий на запущенных экземплярах на платформе.
Проверяет привилегии в каждом обнаруженном сегменте и определяет, если ли риск несанкционированного повышения привилегий.
Подходит для тестирования на проникновение облачной инфраструктуры Google, участия красной команды и многого другого.
13. Cloud Security Suit
Security FTW Cloud Security Suite является еще одним открытым источником для аудита состояния безопасности инфраструктуры GCP. Решении "все в одном" позволяет проверять конфигурации и безопасность учетных записей GCP и выявлять широкий спектр уязвимостей.
Заключение
Облачная платформа Google предоставляет гибкую и масштабируемую ИТ-инфраструктуру. Однако, как и в других облачных средах, они могут иметь уязвимости, если не настроены должным образом, и злоумышленники могут использовать их для компрометации систем, кражи данных, заражения вредоносными программами или совершения других кибератак.
К счастью, компании могут защитить свои среды GCP, следуя передовым практикам обеспечения безопасности и используя надежные инструменты для непрерывной защиты, мониторинга и обеспечения видимости конфигураций и общего состояния безопасности.
Данная статья будет посвящена еще одному проприетарному протоколу компании Cisco Systems - VTP (VLANTrunkingProtocol), который призван решать возможные проблемы в среде коммутации в случае расширения парка оборудования организации.
Для начала вспомним что же такое VLAN. VLAN – это Virtual Local Area Network, что дословно переводится как “виртуальная локальная сеть”. При создании VLAN’а хосты физической сети, объединенные общей функцией, выделяются в логическую виртуальную сеть, при этом их физическое местонахождение не имеет значения. Обычно VLAN настраивается на сетевом коммутаторе, по средствам добавления портов, за которыми находятся хосты подлежащие объединению, в группу. Выглядит это примерно так:
На слайде приведен случай, когда на коммутаторе настроено два VLAN’a. Порты с 1 по 3 принадлежат VLAN’у 10, а порты с 6 по 8 находятся во VLAN’е 20.
Команды, которые вводил администратор для такой конфигурации, примерно такие:
Создание VLAN 10
Switch(config)# vlan 10
Switch(config)# interface range fa0/1 - 3
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Создание VLAN 20
Switch(config)# vlan 20
Switch(config)# interface range fa0/5 - 8
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20
Как видите набор команд довольно простой, но администратор вводил их на единственном коммутаторе. Хосты реальных VLAN’ов могут быть рассредоточены по сети и находиться за разными устройствами, как показано на рисунке:
Как видно из рисунка хосты принадлежащие VLAN 10 рассредоточены по сети, они находятся как за коммутатором 1 так и за коммутатором 3. Для того, чтобы они могли корректно взаимодействовать, администратору вручную придется создавать VLAN на каждом устройстве и добавлять в них порты. Реальные сети могут содержать ещё больше VLAN сетей и каждую необходимо прописать вручную, в следствие чего растет вероятность допущения ошибок в конфигурации, которая может привести перекрестному соединению и многочисленным несогласованностям.
Для того чтобы исключить вероятность таких ошибок и был разработан протокол VTP, который позволяет устройствам автоматически делиться информацией о настроенных на них VLAN’ах и самостоятельно вносить изменения в конфигурацию.
Режимы работы VTP
VTP коммутатор имеет два режима работы:
Server
В этом режиме можно создавать новые и вносить изменения в существующие VLAN’ы.
Коммутатор будет обновлять свою базу VLAN’ов и сохранять информацию о настройках во Flashпамяти в файле vlan.dat.
Генерирует и передает сообщения как от других коммутаторов, работающих в режиме сервера, так и от клиентов
Client
Коммутатор в этом режиме будет передавать информацию о VLAN’ах полученную от других коммутаторов и синхронизировать свою базу VLANпри получении VTPобновлений. Настройки нельзя будет поменять через командную строку такого устройства. 3) Transparent
В данном режиме коммутатор будет передавать VTPинформацию другим участникам, не синхронизируя свою базу и не генерируя собственные обновления. Настройки VLAN можно поменять лишь для локального коммутатора.
Типы сообщений VTP
В VTPсуществует три типа сообщений:
Advertisement requests
Представляет из себя запрос от клиента к серверу на оповещение SummaryAdvertisement
Summary advertisements
Данное сообщение по умолчанию сервер отправляет каждые 5 минут или сразу же после изменения конфигурации.
Subset advertisements
Отправляется сразу же после изменения конфигурации VLAN, а также после запроса на оповещение.
Стоит отметить, что VTPкоммутатор, который получает информацию о новых VLAN’ах, внесет ее в свою конфигурацию только в том случае, если сообщение пришло от коммутатора с большим номером ревизии.
Номер ревизии это некий идентификатор “свежести” базы VLAN. Коммутатор воспринимает базу с наивысшим номером ревизии как самую “свежую” и вносит изменения в свою конфигурацию.
Протокол VTPявляется проприетарным, т.е закрытым. Он сильно облегчает жизнь администраторам, работающим с оборудованием Cisco.
Для оборудования других производителей существует аналогичный открытый стандарт - GVRP (GARP VLAN Registration Protocol).