Danas ćemo nastaviti našu raspravu o VLAN-ovima i razgovarati o VTP protokolu, kao i konceptima VTP-orezanja i Native VLAN-a. Već smo pričali o VTP-u u jednom od prethodnih videa, a prva stvar koja bi vam trebala pasti na pamet kada čujete za VTP je da to nije tranking protokol, iako se naziva „VLAN tranking protokol“.
Kao što znate, postoje dva popularna tranking protokola - vlasnički Cisco ISL protokol, koji se danas ne koristi, i 802.q protokol, koji se koristi u mrežnim uređajima raznih proizvođača za enkapsulaciju tranking saobraćaja. Ovaj protokol se takođe koristi u Cisco prekidačima. Već smo rekli da je VTP protokol za VLAN sinhronizaciju, odnosno dizajniran je da sinhronizuje VLAN bazu podataka preko svih mrežnih prekidača.
Spomenuli smo različite VTP modove - server, klijent, transparentan. Ako uređaj koristi način rada servera, ovo vam omogućava da unosite promjene, dodajete ili uklanjate VLAN-ove. Režim klijenta vam ne dozvoljava da menjate postavke prekidača, VLAN bazu podataka možete konfigurisati samo preko VTP servera i ona će se replicirati na sve VTP klijente. Prekidač u transparentnom režimu ne pravi promene u sopstvenoj VLAN bazi podataka, već jednostavno prolazi kroz sebe i prenosi promene na sledeći uređaj u režimu klijenta. Ovaj način rada je sličan onemogućavanju VTP-a na određenom uređaju, pretvarajući ga u prijenosnik informacija o promjeni VLAN-a.
Vratimo se na program Packet Tracer i topologiju mreže o kojoj smo govorili u prethodnoj lekciji. Konfigurisali smo VLAN10 mrežu za odjel prodaje i VLAN20 mrežu za odjel marketinga, kombinirajući ih sa tri prekidača.
Između prekidača SW0 i SW1 komunikacija se odvija preko VLAN20 mreže, a između SW0 i SW2 postoji komunikacija preko VLAN10 mreže zbog činjenice da smo dodali VLAN10 u VLAN bazu podataka switch SW1.
Da bismo razmotrili rad VTP protokola, koristimo jedan od prekidača kao VTP server, neka bude SW0. Ako se sećate, po defaultu svi prekidači rade u režimu VTP servera. Idemo na terminal komandne linije prekidača i unesite naredbu show vtp status. Vidite da je trenutna verzija VTP protokola 2, a broj revizije konfiguracije je 4. Ako se sjećate, svaki put kada se naprave promjene u VTP bazi podataka, broj revizije se povećava za jedan.
Maksimalan broj podržanih VLAN-ova je 255. Ovaj broj zavisi od brenda specifičnog Cisco switch-a, budući da različiti prekidači mogu podržavati različite brojeve lokalnih virtuelnih mreža. Broj postojećih VLAN-ova je 7, za minut ćemo pogledati koje su to mreže. Režim kontrole VTP-a je server, ime domene nije podešeno, VTP režim rezanja je onemogućen, na to ćemo se vratiti kasnije. VTP V2 i VTP režimi generiranja zamki su također onemogućeni. Ne morate znati o zadnja dva načina da biste položili 200-125 CCNA ispit, tako da ne brinite o njima.
Pogledajmo VLAN bazu podataka koristeći komandu show vlan. Kao što smo već vidjeli u prethodnom videu, imamo 4 nepodržane mreže: 1002, 1003, 1004 i 1005.
Takođe navodi 2 mreže koje smo kreirali, VLAN10 i 20, i podrazumevanu mrežu, VLAN1. Sada pređimo na drugi prekidač i unesite istu komandu da vidite VTP status. Vidite da je broj revizije ovog prekidača 3, da je u režimu VTP servera i sve ostale informacije su slične prvom prekidaču. Kada uđem u komandu show VLAN, vidim da smo izvršili 2 promjene postavki, jednu manje od prekidača SW0, zbog čega je broj revizije SW1 3. Napravili smo 3 promjene zadanih postavki prvog prekidač, stoga je njegov broj revizije povećan na 4.
Pogledajmo sada status SW2. Broj revizije ovdje je 1, što je čudno. Moramo imati drugu reviziju jer je napravljena 1 promjena postavki. Pogledajmo VLAN bazu podataka.
Napravili smo jednu promjenu, kreirajući VLAN10, i ne znam zašto ta informacija nije ažurirana. Možda se to dogodilo zato što nemamo pravu mrežu, već softverski mrežni simulator, koji može imati greške. Kada budete imali priliku da radite sa stvarnim uređajima dok stažirate u Cisco-u, to će vam pomoći više od Packet Tracer simulatora. Još jedna korisna stvar u nedostatku pravih uređaja bio bi GNC3, ili grafički Cisco mrežni simulator. Ovo je emulator koji koristi pravi operativni sistem uređaja, kao što je ruter. Postoji razlika između simulatora i emulatora - prvi je program koji izgleda kao pravi ruter, ali nije. Softver emulatora kreira samo sam uređaj, ali koristi pravi softver za upravljanje njime. Ali ako nemate mogućnost pokretanja stvarnog Cisco IOS softvera, Packet Tracer je vaša najbolja opcija.
Dakle, treba da konfigurišemo SW0 kao VTP server, za ovo ulazim u režim konfiguracije globalnih postavki i unosim naredbu vtp verzija 2. Kao što sam rekao, možemo instalirati verziju protokola koja nam je potrebna - 1 ili 2, u ovom U slučaju da nam je potrebna druga verzija. Zatim, pomoću naredbe vtp mode, postavljamo VTP mod prekidača - server, klijent ili transparentan. U ovom slučaju nam je potreban serverski režim, a nakon unosa naredbe servera vtp mode, sistem prikazuje poruku da je uređaj već u serverskom režimu. Zatim moramo konfigurirati VTP domen, za koji koristimo naredbu vtp domena nwking.org. Zašto je to potrebno? Ako postoji drugi uređaj na mreži s većim brojem revizije, svi ostali uređaji s manjim brojem revizije počinju replicirati VLAN bazu podataka s tog uređaja. Međutim, to se događa samo ako uređaji imaju isti naziv domene. Na primjer, ako radite na nwking.org, naznačite ovu domenu, ako u Cisco, onda domenu cisco.com, i tako dalje. Naziv domene uređaja vaše kompanije omogućava vam da ih razlikujete od uređaja druge kompanije ili od bilo kojeg drugog vanjskog uređaja na mreži. Kada dodijelite naziv domene kompanije uređaju, činite ga dijelom mreže te kompanije.
Sljedeće što treba učiniti je postaviti VTP lozinku. To je potrebno da haker, koji ima uređaj sa velikim brojem revizije, ne može kopirati svoje VTP postavke na vaš prekidač. Unosim cisco lozinku koristeći vtp lozinku cisco komandu. Nakon toga, replikacija VTP podataka između prekidača bit će moguća samo ako se lozinke podudaraju. Ako se koristi pogrešna lozinka, VLAN baza podataka se neće ažurirati.
Pokušajmo napraviti još VLAN-ova. Da to učinim, koristim naredbu config t, koristim naredbu vlan 200 da kreiram broj mreže 200, dam joj ime TEST i spremim promjene naredbom za izlaz. Zatim kreiram drugi vlan 500 i zovem ga TEST1. Ako sada unesete naredbu show vlan, onda u tabeli virtuelnih mreža komutatora možete vidjeti ove dvije nove mreže kojima nije dodijeljen niti jedan port.
Pređimo na SW1 i vidimo njegov VTP status. Vidimo da se ovdje ništa nije promijenilo osim imena domene, broj VLAN-ova je ostao jednak 7. Ne vidimo da se mreže koje smo kreirali pojavljuju jer se VTP lozinka ne poklapa. Postavimo VTP lozinku na ovom prekidaču uzastopnim unosom komandi conf t, vtp pass i vtp lozinka Cisco. Sistem je izvestio da VLAN baza podataka uređaja sada koristi Cisco lozinku. Pogledajmo još jednom VTP status da provjerimo da li su informacije replicirane. Kao što vidite, broj postojećih VLAN-ova se automatski povećao na 9.
Ako pogledate VLAN bazu podataka ovog sviča, možete vidjeti da su se VLAN200 i VLAN500 mreže koje smo kreirali automatski pojavile u njoj.
Isto je potrebno učiniti sa zadnjim prekidačem SW2. Uđimo u komandu show vlan - možete vidjeti da u njoj nije došlo do promjena. Isto tako, nema promjene u VTP statusu. Da bi ovaj prekidač ažurirao informacije, potrebno je postaviti i lozinku, odnosno unijeti iste komande kao i za SW1. Nakon toga, broj VLAN-ova u SW2 statusu će se povećati na 9.
To je ono čemu služi VTP. Ovo je sjajna stvar koja automatski ažurira informacije na svim klijentskim mrežnim uređajima nakon što se naprave promjene na serverskom uređaju. Ne morate ručno unositi promjene u VLAN bazu podataka svih prekidača - replikacija se događa automatski. Ako imate 200 mrežnih uređaja, promjene koje napravite bit će sačuvane na svih dvije stotine uređaja u isto vrijeme. Za svaki slučaj, moramo se uvjeriti da je i SW2 VTP klijent, pa idemo u postavke s naredbom config t i unesite naredbu klijenta vtp moda.
Tako je u našoj mreži samo prvi prekidač u režimu VTP servera, druga dva rade u režimu VTP klijenta. Ako sada uđem u SW2 postavke i unesem naredbu vlan 1000, dobit ću poruku: “Konfiguriranje VTP VLAN-a nije dozvoljeno kada je uređaj u klijentskom načinu rada.” Dakle, ne mogu napraviti nikakve promjene u VLAN bazi podataka ako je prekidač u VTP klijent modu. Ako želim da izvršim bilo kakve promene, moram da odem na server za prebacivanje.
Idem u postavke SW0 terminala i unesem komande vlan 999, imenujem IMRAN i izlazim. Ova nova mreža se pojavila u VLAN bazi podataka ovog switch-a, i ako sada odem do baze podataka klijentskog switch-a SW2, vidjeću da se ovdje pojavila ista informacija, odnosno da je došlo do replikacije.
Kao što sam rekao, VTP je odličan softver, ali ako se koristi nepravilno, može poremetiti cijelu mrežu. Stoga morate biti vrlo oprezni kada rukujete mrežom kompanije ako naziv domene i VTP lozinka nisu postavljeni. U ovom slučaju, sve što haker treba da uradi je da utakne kabl svog prekidača u mrežnu utičnicu na zidu, poveže se na bilo koji kancelarijski prekidač koristeći DTP protokol i zatim, koristeći kreirani trank, ažurira sve informacije koristeći VTP protokol . Na ovaj način, haker može izbrisati sve važne VLAN-ove, koristeći prednost činjenice da je broj revizije njegovog uređaja veći od broja revizije drugih prekidača. U ovom slučaju, prekidači kompanije će automatski zamijeniti sve informacije o VLAN bazi podataka informacijama repliciranim sa zlonamjernog prekidača, i cijela vaša mreža će se srušiti.
To je zbog činjenice da su računari povezani mrežnim kablom na određeni port komutatora kojem je dodijeljen VLAN 10 ili VLAN20. Ako se ove mreže izbrišu iz LAN baze podataka komutatora, automatski će se onemogućiti port koji pripada nepostojećoj mreži. Obično se mreža kompanije može urušiti upravo zato što prekidači jednostavno onemogućuju portove povezane s VLAN-ovima koji su uklonjeni tokom sljedećeg ažuriranja.
Da biste sprečili pojavu ovakvog problema, potrebno je da postavite VTP ime domena i lozinku ili koristite funkciju Cisco Port Security, koja vam omogućava da upravljate MAC adresama portova komutatora, uvodeći različita ograničenja u njihovu upotrebu. Na primjer, ako neko drugi pokuša promijeniti MAC adresu, port će se odmah srušiti. Uskoro ćemo detaljnije pogledati ovu funkciju Cisco prekidača, ali za sada sve što trebate znati je da Port Security omogućava da osigurate da je VTP zaštićen od napadača.
Hajde da sumiramo šta je VTP postavka. Ovo je izbor verzije protokola - 1 ili 2, dodjela VTP moda - server, klijent ili transparentan. Kao što sam već rekao, potonji način rada ne ažurira VLAN bazu podataka samog uređaja, već jednostavno prenosi sve promjene na susjedne uređaje. Slijede naredbe za dodjelu imena domene i lozinke: vtp domen <ime domene> i vtp lozinka <lozinka>.
Sada razgovarajmo o postavkama VTP obrezivanja. Ako pogledate topologiju mreže, možete vidjeti da sva tri prekidača imaju istu VLAN bazu podataka, što znači da su VLAN10 i VLAN20 dio sva 3 prekidača. Tehnički, switch SW2 ne treba VLAN20 jer nema portove koji pripadaju ovoj mreži. Međutim, bez obzira na to, sav saobraćaj koji se šalje sa Laptop0 računara preko VLAN20 mreže stiže do SW1 prekidača i od njega ide kroz trunk do SW2 portova. Vaš glavni zadatak kao mrežnog stručnjaka je osigurati da se što manje nepotrebnih podataka prenosi preko mreže. Morate osigurati da se prenose potrebni podaci, ali kako možete ograničiti prijenos informacija koje nisu potrebne uređaju?
Morate osigurati da promet namijenjen uređajima na VLAN20 ne teče na SW2 portove kroz trunk kada to nije potrebno. Odnosno, saobraćaj Laptop0 treba da stigne do SW1, a zatim do računara na VLAN20, ali ne bi trebalo da ide dalje od desnog trunk porta SW1. Ovo se može postići korištenjem VTP obrezivanja.
Da bismo to uradili, potrebno je da idemo na podešavanja VTP servera SW0, jer kao što sam već rekao, VTP podešavanja se mogu izvršiti samo preko servera, idite na globalna podešavanja konfiguracije i ukucajte naredbu vtp pruning. Pošto je Packet Tracer samo program za simulaciju, ne postoji takva naredba u njegovim promptovima komandne linije. Međutim, kada upišem vtp obrezivanje i pritisnem Enter, sistem mi kaže da režim vtp obrezivanja nije dostupan.
Koristeći naredbu show vtp status, vidjet ćemo da je režim VTP obrezivanja u onemogućenom stanju, tako da ga moramo učiniti dostupnim tako što ćemo ga pomjeriti na poziciju za omogućavanje. Nakon što smo to učinili, aktiviramo režim VTP Pruning na sva tri prekidača naše mreže unutar mrežnog domena.
Dozvolite mi da vas podsjetim šta je VTP obrezivanje. Kada omogućimo ovaj način rada, switch server SW0 obavještava prekidač SW2 da je samo VLAN10 konfigurisan na njegovim portovima. Nakon toga, prekidač SW2 govori prekidaču SW1 da mu nije potreban nikakav drugi promet osim prometa namijenjenog VLAN10. Sada, zahvaljujući VTP Pruning, prekidač SW1 ima informaciju da ne treba da šalje VLAN20 saobraćaj duž SW1-SW2 stabla.
Ovo je vrlo zgodno za vas kao mrežnog administratora. Ne morate ručno unositi komande jer je prekidač dovoljno pametan da pošalje upravo ono što je potrebno određenom mrežnom uređaju. Ako sutra postavite drugi marketinški odjel u susjednu zgradu i povežete njegovu VLAN20 mrežu na prekidač SW2, taj prekidač će odmah reći komutatoru SW1 da sada ima VLAN10 i VLAN20 i traži od njega da proslijedi promet za obje mreže. Ove informacije se stalno ažuriraju na svim uređajima, čineći komunikaciju efikasnijom.
Postoji još jedan način za specificiranje prijenosa prometa - ovo je korištenje naredbe koja dozvoljava prijenos podataka samo za navedeni VLAN. Idem u podešavanja switch SW1, gde me zanima port Fa0/4, i unesem komande int fa0/4 i switchport trunk dozvoljen vlan. Pošto već znam da SW2 ima samo VLAN10, mogu reći SW1 da dozvoli samo saobraćaj za tu mrežu na svom trunk portu koristeći dozvoljenu vlan komandu. Tako sam programirao trunk port Fa0/4 da prenosi saobraćaj samo za VLAN10. To znači da ovaj port neće dozvoliti dalji promet iz VLAN1, VLAN20 ili bilo koje druge mreže osim navedene.
Možda se pitate šta je bolje koristiti: VTP Pruning ili dozvoljenu vlan naredbu. Odgovor je subjektivan jer u nekim slučajevima ima smisla koristiti prvu metodu, au drugima drugu. Kao mrežni administrator, na vama je da odaberete najbolje rješenje. U nekim slučajevima, odluka da se port programira da dozvoli promet iz određenog VLAN-a može biti dobra, ali u drugim može biti loša. U slučaju naše mreže, korištenje dozvoljene vlan komande može biti opravdano ako nećemo mijenjati topologiju mreže. Ali ako neko kasnije poželi dodati grupu uređaja koji koriste VLAN2 na SW 20, bilo bi preporučljivije koristiti VTP način obrezivanja.
Dakle, postavljanje VTP orezivanja uključuje korištenje sljedećih naredbi. Komanda vtp pruning omogućava automatsku upotrebu ovog režima. Ako želite da konfigurišete VTP odstranjivanje trunk porta da dozvolite da saobraćaj određenog VLAN-a prođe ručno, tada koristite naredbu za odabir interfejsa za broj trunk porta <#>, omogućite trunk režim switchport režima trank i dozvolite prenos saobraćaja na određenu mrežu koristeći komandu switchport trunk dozvoljeno vlan .
U posljednjoj naredbi možete koristiti 5 parametara. Sve znači da je prenos saobraćaja za sve VLAN-ove dozvoljen, ništa – zabranjen je prenos saobraćaja za sve VLAN-ove. Ako koristite parametar add, možete dodati propusnost prometa za drugu mrežu. Na primjer, dozvoljavamo VLAN10 promet, a naredbom add također možemo dozvoliti prolaz VLAN20 prometu. Komanda remove vam omogućava da uklonite jednu od mreža, na primjer, ako koristite parametar remove 20, ostat će samo VLAN10 promet.
Sada pogledajmo izvorni VLAN. Već smo rekli da je nativni VLAN virtuelna mreža za prolazak neoznačenog saobraćaja kroz određeni trunk port.
Ulazim u određene postavke porta kao što je naznačeno u zaglavlju komandne linije SW(config-if)# i koristim komandu switchport trunk native vlan <broj mreže>, na primjer VLAN10. Sada će sav promet na VLAN10 ići kroz neoznačeni trunk.
Vratimo se na topologiju logičke mreže u prozoru Packet Tracer. Ako koristim komandu switchport trunk native vlan 20 na switch portu Fa0/4, tada će sav promet na VLAN20 teći kroz Fa0/4 – SW2 trunk neoznačen. Kada prekidač SW2 primi ovaj promet, mislit će: "ovo je neoznačeni promet, što znači da bih ga trebao usmjeriti na izvorni VLAN." Za ovaj prekidač, izvorni VLAN je VLAN1 mreža. Mreže 1 i 20 nisu povezane ni na koji način, ali pošto se koristi native VLAN način rada, imamo priliku da VLAN20 promet usmjerimo na potpuno drugu mrežu. Međutim, ovaj promet će biti nekapsuliran, a same mreže se i dalje moraju podudarati.
Pogledajmo ovo na primjeru. Ući ću u postavke SW1 i koristiti komandu switchport trunk native vlan 10. Sada će svaki VLAN10 promet izaći iz trunk porta neoznačen. Kada dođe do trunk porta SW2, komutator će shvatiti da ga mora proslijediti na VLAN1. Kao rezultat ove odluke, saobraćaj neće moći da stigne do računara PC2, 3 i 4, jer su oni povezani na komutatorske pristupne portove namenjene VLAN10.
Tehnički, ovo će uzrokovati da sistem prijavi da izvorni VLAN porta Fa0/4, koji je dio VLAN10, ne odgovara portu Fa0/1, koji je dio VLAN1. To znači da navedeni portovi neće moći raditi u trunk modu zbog neusklađenosti izvornog VLAN-a.
Hvala vam što ste ostali s nama. Da li vam se sviđaju naši članci? Želite li vidjeti još zanimljivijeg sadržaja? Podržite nas naručivanjem ili preporukom prijateljima, 30% popusta za korisnike Habra na jedinstveni analog početnih servera, koji smo mi osmislili za vas: (dostupno sa RAID1 i RAID10, do 24 jezgra i do 40GB DDR4).
Dell R730xd 2 puta jeftiniji? Samo ovdje u Holandiji! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - od 99 USD! Pročitajte o
izvor: www.habr.com