Сёння мы разгледзім дынамічны пратакол транкінгу DTP і VTP - пратакол транкінгу VLAN. Як я казаў на апошнім уроку, мы будзем прытрымлівацца тэмах іспыту ICND2 у тым парадку, у якім яны прыведзены на сайце Cisco.
У мінулы раз мы разгледзелі пункт 1.1, а сёння разгледзім 1.2 - настройка, праверка і непаладкі злучэнняў сеткавых камутатараў: даданне і выдаленне VLAN з транка і пратаколы DTP і VTP версіі 1 і 2.
Усе порты світаку "са скрынкі" па змаўчанні настроены на выкарыстанне рэжыму Dynamic Auto пратаколу DTP. Гэта азначае, што пры злучэнні двух портаў розных світак паміж імі аўтаматычна ўключаецца транк, калі адзін з портаў знаходзіцца ў рэжыме trunk ці desirable. Калі парты абодвух свіцей знаходзяцца ў рэжыме Dynamic Auto, транк не ўтворыцца.
Такім чынам, усё залежыць ад налады рэжымаў працы кожнага з 2 світак. Для зручнасці разумення я зрабіў табліцу магчымых камбінацый рэжымаў DTP двух свіцей. Вы бачыце, што калі абодва світа выкарыстоўваюць Dynamic Auto, то яны не ўтвораць транк, а застануцца ў рэжыме Access. Таму калі вы жадаеце, каб паміж двума світкамі быў створаны транк, то павінны запраграмаваць хаця б адзін са світак на рэжым Trunk, ці ж запраграмаваць транк-порт на выкарыстанне рэжыму Dynamic Desirable. Як відаць з табліцы, кожны з партоў світаку можа знаходзіцца ў адным з 4-х рэжымаў: Access, Dynamic Auto, Dynamic Desirable ці Trunk.
Калі абодва порта настроены на Access, злучаныя світкі будуць выкарыстоўваць рэжым Access. Калі адзін порт наладжаны на Dynamic Auto, а іншы на Access, абодва будуць працаваць у рэжыме Access. Калі адзін порт працуе ў рэжыме Access, а іншы ў рэжыме Trunk, злучыць світкі не атрымаецца, таму такую камбінацыю рэжымаў нельга выкарыстоўваць.
Такім чынам, для працы транкінгу неабходна, каб адзін з партоў свіцей быў запраграмаваны на Trunk, а іншы – на Trunk, Dynamic Auto ці Dynamic Desirable. Транк утворыцца таксама ў выпадку, калі абодва порта настроены на Dynamic Desirable.
Розніца паміж Dynamic Desirable і Dynamic Auto складаецца ў тым, што ў першым рэжыме порт сам ініцыюе транк, адсылаючы DTP-фрэймы порце другога світаку. У другім рэжыме порт світаку чакае, пакуль хто-небудзь не пачнем з ім мець зносіны, і калі порты абодвух світак настроены на Dynamic Auto, паміж імі ніколі не ўтворыцца транк. У выпадку Dynamic Desirable маецца зваротная сітуацыя - калі абодва порта настроены на гэты рэжым, паміж імі абавязкова ўтворыцца транк.
Я раю вам запомніць гэтую табліцу, бо яна дапаможа вам правільна наладзіць скруткі, злучаныя сябар з сябрам. Давайце разгледзім гэты аспект у праграме Packet Tracer. Я паслядоўна злучыў разам 3 світачы і зараз адлюстроўваю на экране акна кансоляў CLI для кожнага з гэтых прылад.
Калі я ўвяду каманду show int trunk, мы не ўбачым ніякага транка, што зусім натуральна пры адсутнасці неабходных налад, бо ўсе скруткі настроены на рэжым Dynamic Auto. Калі я папрашу паказаць параметры інтэрфейсу f0/1 сярэдняга світача, вы ўбачыце, што ў рэжыме адміністрацыйных налад значыцца параметр dynamic auto.
Аналагічныя наладкі маюцца ў трэцяга і першага світэю – у іх таксама порт f0/1 знаходзіцца ў рэжыме dynamic auto. Калі вы падушыце табліцу, для транкінгу ўсе порты павінны знаходзіцца ў рэжыме trunk альбо адзін з портаў павінен быць у рэжыме Dynamic Desirable.
Давайце зойдзем у налады першага світача SW0 і наладзім порт f0/1. Пасля ўводу каманды switchport mode сістэма выдасць падказкі магчымых параметраў рэжыму: access, dynamic ці trunk. Я выкарыстоўваю каманду switchport mode dynamic desirable, пры гэтым вы можаце заўважыць, як транк-порт f0/1 другога світа пасля ўводу гэтай каманды спачатку перайшоў у стан down, а затым, пасля атрымання фрэйма DTP першага світа перайшоў у стан up.
Калі зараз у кансолі CLI світчу SW1 увесці каманду show int trunk, мы ўбачым, што порт f0/1 знаходзіцца ў стане транкінгу. Я ўводжу тую ж каманду ў кансолі світача SW1 і бачу тую ж інфармацыю, гэта значыць зараз паміж світкамі SW0 і SW1 усталяваны транк. Пры гэтым порт першага світаку знаходзіцца ў рэжыме desirable, а порт другога - у рэжыме auto.
Паміж другім і трэцім світаком сувязь адсутнічае, таму я пераходжу ў налады трэцяга світача і ўводжу каманду switchport mode dynamic desirable. Вы бачыце, што ў другім світку адбыліся тыя ж змены стану down-up, толькі зараз яны дакранаюцца порта f0/2, да якога падлучаны 3 свитч. Цяпер другі світч мае два транка: адзін на інтэрфейсе f0/1, другі на f0/2. Гэта можна ўбачыць, калі выкарыстоўваць каманду show int trunk.
Абодва порта другога світаку знаходзяцца ў стане auto, гэта значыць для транкінгу з суседнімі світчамі неабходна, каб іх порты былі ў рэжыме trunk або desirable, таму што ў гэтым выпадку існуе ўсяго 2 рэжыму для ўсталёўкі транка. З дапамогай табліцы вы заўсёды можаце наладзіць парты світак такім чынам, каб арганізаваць паміж імі транк. Вось у чым заключаецца сутнасць выкарыстання дынамічнага пратакола транкінгу DTP.
Давайце прыступім да разгляду пратаколу транкінгу VLAN, ці VTP. Гэты пратакол забяспечвае сінхранізацыю баз дадзеных VLAN розных сеткавых прылад, ажыццяўляючы перанос абноўленай базы VLAN з адной прылады на іншае. Вернемся да нашай схемы з 3-х світак. VTP можа працаваць у 3-х рэжымах: server, client і transparent. VTP v3 мае яшчэ адзін рэжым пад назовам Off, аднак у тэматыцы іспыту Cisco разглядаецца толькі VTP першай і другой версій.
Рэжым Server выкарыстоўваецца для стварэння новых VLAN, выдаленні або змены сетак праз камандны радок світаку. У рэжыме кліента ніякіх аперацый над VLAN здзейсніць нельга, у гэтым рэжыме адбываецца толькі абнаўленне базы дадзеных VLAN з сервера. Рэжым transparent дзейнічае так, як быццам бы пратакол VTP адключаны, гэта значыць світч не выдае ўласных паведамленняў VTP, але перадае абнаўленні ад іншых світчаў – калі абнаўленне паступіла на адзін з партоў світача, ён прапускае яго праз сябе і адпраўляе далей па сетцы праз іншы порт . У празрыстым рэжыме світч проста служыць перадатчыкам чужых паведамленняў, не абнаўляючы ўласную базу дадзеных VLAN.
На гэтым слайдзе вы бачыце каманды налад пратаколу VTP, якія ўводзяцца ў рэжыме глабальнай канфігурацыі. Першай камандай можна змяніць выкарыстоўваную версію пратаколу. Другая каманда выбірае рэжым працы VTP.
Калі вы жадаеце стварыць VTP-дамен, выкарыстоўваецца каманда vtp domain <імя дамена>, а для ўсталёўкі пароля VTP трэба ўвесці каманду vtp password <ПАРОЛЬ>. Пяройдзем да кансолі CLI першага світача і паглядзім на стан VTP, увёўшы каманду show vtp status.
Вы бачыце версію пратаколу VTP - другая, максімальная колькасць падтрымліваемых VLAN - 255, колькасць існуючых VLAN - 5 і рэжым працы VLAN - сервер. Усё гэта параметры па змаўчанні. Мы ўжо абмяркоўвалі VTP на ўроку "Дзень 30", так што калі вы нешта забыліся, можаце вярнуцца і перагледзець гэтае відэа яшчэ раз.
Для таго каб убачыць базу дадзеных VLAN, я ўводжу каманду show vlan brief. Тут паказаны VLAN1 і VLAN1002-1005. Да першай сеткі па змаўчанні падлучаныя ўсе вольныя інтэрфейсы світача – 23 порта Fast Ethernet і 2 порта Gigabit Ethernet, астатнія 4 VLAN не падтрымліваюцца. Базы дадзеных VLAN двух іншых світак выглядаюць сапраўды гэтак жа, за выключэннем таго, што ў SW1 вольнымі для VLAN засталіся не 23, а 22 порта Fast Ethernet, бо f0/1 і f0/2 занятыя пад транкі. Яшчэ раз нагадаю тое, пра што гаварылася на ўроку "Дзень 30" – пратакол VTP падтрымлівае толькі абнаўленне баз дадзеных VLAN.
Калі я наладжу некалькі портаў на працу з сеткамі VLAN з камандамі switchport access і switchport mode access VLAN10, VLAN20 ці VLAN30, канфігурацыя гэтых портаў не будзе рэплікаваная з дапамогай VTP, таму што VTP абнаўляе толькі базу дадзеных VLAN.
Так, калі адзін з партоў SW1 будзе настроены на працу з VLAN20, але гэтай сеткі не будзе ў базе дадзеных VLAN, то порт будзе адключаны. У сваю чаргу абнаўленне баз дадзеных адбываецца толькі пры выкарыстанні пратаколу VTP.
З дапамогай каманды show vtp status я бачу, што ўсе 3 світчы зараз знаходзяцца ў рэжыме server. Я перавяду сярэдні світач SW1 у празрысты рэжым камандай vtp mode transparent, а трэці світач SW2 - у рэжым кліента камандай vtp mode client.
Цяпер вернемся да першага світачу SW0 і створым дамен nwking.org з дапамогай каманды vtp domain <імя дамена>. Калі зараз паглядзець на стан VTP другога світа, які знаходзіцца ў празрыстым рэжыме, відаць, што ён ніяк не адрэагаваў на стварэнне дамена - поле VTP Domain Name засталося пустым. Аднак трэці світак, які знаходзіцца ў рэжыме кліента, абнавіў сваю базу дадзеных і ў яго з'явілася даменнае імя VTP-nwking.org. Такім чынам, абнаўленне базы дадзеных світача SW0 мінула скрозь SW1 і адбілася на SW2.
Цяпер я паспрабую памяняць зададзенае даменнае імя, для чаго зайду ў налады SW0 і набяру каманду vtp domain NetworKing. Як бачым, на гэты раз абнаўлення не адбылося - імя дамена VTP на трэцім світчы засталося ранейшым. Справа ў тым, што такое абнаўленне даменнага імя адбываецца ўсяго 1 раз, калі мяняецца дамен па змаўчанні. Калі пасля гэтага даменнае імя VTP змяняецца яшчэ раз, на астатніх світачы яго запатрабуецца памяняць уручную.
Цяпер я ствару ў кансолі CLI першага світача новую сетку VLAN100 і назаву яе імем IMRAN. Яна з'явілася ў базе дадзеных VLAN першага світача, але не з'явілася ў базе дадзеных трэцяга світача, таму што гэта розныя дамены. Запомніце, што абнаўленне базы дадзеных VLAN адбываецца толькі ў тым выпадку, калі абодва світачы маюць аднолькавы дамен, або, як я паказаў раней, новае даменнае імя ўсталёўваецца замест імя па змаўчанні.
Я заходжу ў налады 3 світаку і паслядоўна ўводжу каманды vtp mode і vtp domain NetworKing. Звярніце ўвагу, што ўвод імя адчувальны да рэгістра, таму напісанне імя дамена павінна цалкам супадаць для абодвух свіцей. Цяпер я зноў перакладаю SW2 у рэжым кліента з дапамогай каманды vtp mode client. Давайце зірнем, што адбудзецца. Як бачыце, зараз, пры супадзенні імя дамена, база дадзеных SW2 абнавілася і ў ёй з'явілася новая сетка VLAN100 IMRAN, прычым гэтыя змены ніяк не адбіліся на сярэднім світчы, таму што ён знаходзіцца ў рэжыме transparent.
Калі вы жадаеце абараніцца ад несанкцыянаванага доступу, то можаце стварыць пароль VTP. Пры гэтым вы павінны быць упэўненыя, што прылада на іншым боку будзе мець сапраўды такі ж пароль, таму што толькі ў гэтым выпадку яно зможа прымаць абнаўленні VTP.
Наступнае, што мы разгледзім - гэта VTP pruning, або "абразанне" невыкарыстоўваных VLAN. Калі ў вас у сетцы маецца 100 прылад, якія выкарыстоўваюць пратакол VTP, тое абнаўленне базы дадзеных VLAN адной прылады аўтаматычна будзе рэплікавана на астатніх 99 прыладах. Аднак не ўсе гэтыя прылады маюць згаданыя ў абнаўленні сеткі VLAN, таму інфармацыя аб іх можа быць не патрэбна.
Рассылка абнаўленняў базы дадзеных VLAN прыладам, выкарыстоўвалым VTP, азначае, што ўсе порты ўсіх прылад атрымаюць інфармацыю аб дададзеных, выдаленых і змененых VLAN, да якіх яны могуць не мець ніякага стаўлення. Пры гэтым сетка забіваецца лішнім трафікам. Каб гэтага не адбывалася, выкарыстоўваецца канцэпцыя абрэзкі VTP. Для таго, каб уключыць на світку рэжым "абрэзкі" неактуальных VLAN, выкарыстоўваецца каманда vtp pruning. Пасля гэтага світчы будуць аўтаматычна паведамляць адзін аднаму аб тым, якія VLAN яны фактычна выкарыстоўваюць, тым самым папярэджваючы суседзяў, што ім не трэба дасылаць абнаўленні сетак, якія да іх не падлучаныя.
Напрыклад, калі SW2 не мае ніякіх портаў VLAN10, то яму не трэба, каб SW1 дасылаў яму трафік для гэтай сеткі. У той жа час свитч SW1 мае патрэбу ў трафіку VLAN10, таму што адзін з яго партоў падлучаны да гэтай сеткі, проста яму не трэба адсылаць гэты трафік свічу SW2.
Таму, калі SW2 выкарыстоўвае рэжым vtp pruning, ён паведамляе SW1: "калі ласка, не дасылайце мне трафік для VLAN10, таму што гэтая сетка да мяне не падлучаная і не адзін з маіх партоў не настроены на працу з гэтай сеткай". Вось што дае выкарыстанне каманды vtp pruning.
Існуе яшчэ адзін спосаб фільтрацыі трафіку для канкрэтнага інтэрфейсу. Ён дазваляе наладзіць порт на транк з канкрэтнай сеткай VLAN. Недахопам такога спосабу з'яўляецца неабходнасць ручной налады кожнага порта транка, якому спатрэбіцца паказаць, якія VLAN дазволеныя, а якія забароненыя. Для гэтага выкарыстоўваецца паслядоўнасць 3-х каманд. Першая паказвае інтэрфейс, якога датычацца гэтыя абмежаванні, другая ператварае гэты інтэрфейс у транк-порт, а трэцяя - switchport trunk allowed vlan - паказвае, якая VLAN дазволена на дадзеным порце: усё, ні адной, якая дадаецца VLAN або выдаляная VLAN.
У залежнасці ад канкрэтнай сітуацыі вы выбіраеце, што выкарыстоўваць: VTP pruning ці Trunk allowed. Некаторыя арганізацыі аддаюць перавагу не карыстацца VTP па меркаваннях бяспекі, таму выбіраюць ручную наладу транкінгу. Бо каманда vtp pruning не працуе ў Packet Tracer, я пакажу яе ў эмулятары GNS3.
Калі вы зойдзеце ў налады SW2 і ўведзяце каманду vtp pruning, сістэма тут жа паведаміць, што дадзены рэжым уключаны: Pruning switched on, гэта значыць «абразанне» VLAN уключаецца ўсяго адной камандай.
Калі набраць каманду show vtp status, мы ўбачым, што рэжым vtp pruning дазволены.
Калі вы наладжваеце гэты рэжым на світачы-серверы, то заходзіце ў яго налады і ўводзіце каманду vtp pruning. Гэта значыць, што падлучаныя да сервера прылады стануць аўтаматычна выкарыстоўваць vtp pruning, каб мінімізаваць трафік транкінгу для неактуальных VLAN.
Калі вы не жадаеце выкарыстоўваць гэты рэжым, то павінны ўвайсці ў пэўны інтэрфейс, напрыклад, e0/0, і затым набраць каманду switchport trunk allowed vlan. Сістэма выдасць вам падказкі магчымых параметраў гэтай каманды:
- WORD – нумар VLAN, якая будзе дазволена на дадзеным інтэрфейсе ў рэжыме транка;
- add - VLAN, якую трэба дадаць у спіс базы дадзеных VLAN;
- all - дазволіць усе VLAN;
- except - дазволіць усе VLAN, акрамя названых;
- none - забараніць усе VLAN;
- remove - выдаліць VLAN з спісу базы дадзеных VLAN.
Напрыклад, калі ў нас дазволены транк для VLAN10 і мы жадаем дазволіць яго для сеткі VLAN20, тое трэба ўвесці каманду switchport trunk allowed vlan add 20.
Я хачу паказаць вам яшчэ тое-сёе, таму выкарыстоўваю каманду show interface trunk. Звярніце ўвагу, што па змаўчанні для транка былі дазволеныя ўсе VLAN 1-1005, а зараз да іх дадалася яшчэ і VLAN10.
Калі я выкарыстоўваю каманду switchport trunk allowed vlan add 20 і зноў папрашу паказаць статус транкінгу, мы ўбачым, што зараз для транка дазволеныя дзве сеткі - VLAN10 і VLAN20.
Пры гэтым ніякі іншы трафік, акрамя прызначанага для ўказаных сетак, не зможа праходзіць праз гэты транк. Дазволіўшы трафік толькі для VLAN 10 і VLAN 20, мы забаранілі трафік для ўсіх іншых VLAN. Вось як можна ўручную наладзіць параметры транкінгу для канкрэтнай VLAN на канкрэтным інтэрфейсе світаку.
Звярніце ўвагу, што да канца дня 17 лістапада 2017 года ў нас на сайце дзейнічае 90% скідка на кошт спампоўкі лабараторнай працы па дадзенай тэме.
Дзякую за ўвагу і да сустрэчы на наступным відэаўроку!
Дзякуй, што застаяцеся з намі. Вам падабаюцца нашыя артыкулы? Жадаеце бачыць больш цікавых матэрыялаў? Падтрымайце нас аформіўшы замову або парэкамендаваўшы знаёмым, 30% зніжка для карыстальнікаў Хабра на ўнікальны аналаг entry-level сервераў, які быў прыдуманы намі для Вас: (даступныя варыянты з RAID1 і RAID10, да 24 ядраў і да 40GB DDR4).
Dell R730xd у 2 разы танней? Толькі ў нас у Нідэрландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – ад $99! Чытайце аб тым
Крыніца: habr.com