Avui continuarem la discussió sobre les VLAN i parlarem del protocol VTP, així com dels conceptes de poda VTP i VLAN nativa. Ja hem parlat de VTP en un dels vídeos anteriors, i el primer que us hauria de venir al cap quan sentiu parlar de VTP és que no és un protocol de troncal, tot i que s'anomena "protocol de troncal VLAN".
Com sabeu, hi ha dos protocols de troncal populars: el protocol propietari Cisco ISL, que no s'utilitza actualment, i el protocol 802.q, que s'utilitza en dispositius de xarxa de diversos fabricants per encapsular el trànsit troncal. Aquest protocol també s'utilitza als commutadors de Cisco. Ja hem dit que VTP és un protocol de sincronització de VLAN, és a dir, està dissenyat per sincronitzar la base de dades de VLAN a tots els commutadors de xarxa.
Hem esmentat diferents modes VTP: servidor, client, transparent. Si el dispositiu utilitza el mode de servidor, això us permetrà fer canvis, afegir o eliminar VLAN. El mode de client no us permet fer canvis a la configuració del commutador, podeu configurar la base de dades VLAN només mitjançant el servidor VTP i es replicarà a tots els clients VTP. Un commutador en mode transparent no fa canvis a la seva pròpia base de dades de VLAN, sinó que simplement passa per si mateix i transfereix els canvis al següent dispositiu en mode client. Aquest mode és similar a desactivar VTP en un dispositiu específic, convertint-lo en un transportador d'informació de canvi de VLAN.
Tornem al programa Packet Tracer i a la topologia de xarxa comentada a la lliçó anterior. Hem configurat una xarxa VLAN10 per al departament de vendes i una xarxa VLAN20 per al departament de màrqueting, combinant-les amb tres commutadors.
Entre els commutadors SW0 i SW1 la comunicació es realitza a través de la xarxa VLAN20, i entre SW0 i SW2 hi ha comunicació a través de la xarxa VLAN10 a causa del fet que hem afegit VLAN10 a la base de dades de VLAN del commutador SW1.
Per tal de considerar el funcionament del protocol VTP, utilitzem un dels commutadors com a servidor VTP, que sigui SW0. Si ho recordeu, per defecte tots els commutadors funcionen en mode de servidor VTP. Anem a la terminal de la línia d'ordres del commutador i introduïm l'ordre show vtp status. Veu que la versió actual del protocol VTP és 2 i el número de revisió de configuració és 4. Si ho recordeu, cada vegada que es fan canvis a la base de dades VTP, el número de revisió augmenta en un.
El nombre màxim de VLAN admesos és 255. Aquest nombre depèn de la marca del commutador Cisco específic, ja que diferents commutadors poden suportar diferents nombres de xarxes virtuals locals. El nombre de VLAN existents és de 7, en un minut veurem quines són aquestes xarxes. El mode de control VTP és servidor, el nom de domini no està definit, el mode de poda VTP està desactivat, tornarem a això més endavant. Els modes de generació de trampes VTP V2 i VTP també estan desactivats. No cal que conegueu les dues últimes modalitats per aprovar l'examen CCNA 200-125, així que no us preocupeu per elles.
Fem una ullada a la base de dades de VLAN mitjançant l'ordre show vlan. Com ja vam veure al vídeo anterior, tenim 4 xarxes no compatibles: 1002, 1003, 1004 i 1005.
També enumera les 2 xarxes que hem creat, VLAN10 i 20, i la xarxa predeterminada, VLAN1. Ara passem a un altre interruptor i introduïm la mateixa ordre per veure l'estat del VTP. Veu que el número de revisió d'aquest commutador és 3, està en mode de servidor VTP i tota la resta d'informació és similar a la del primer commutador. Quan introduc l'ordre show VLAN, veig que hem fet 2 canvis a la configuració, un menys que l'interruptor SW0, per això el número de revisió de SW1 és 3. Hem fet 3 canvis a la configuració predeterminada del primer. commutador, per tant, el seu nombre de revisions va augmentar a 4.
Ara mirem l'estat de SW2. El número de revisió aquí és 1, la qual cosa és estrany. Hem de fer una segona revisió perquè s'ha fet 1 canvi de configuració. Vegem la base de dades de VLAN.
Hem fet un canvi, creant VLAN10, i no sé per què aquesta informació no es va actualitzar. Potser això ha passat perquè no tenim una xarxa real, sinó un simulador de xarxa de programari, que pot tenir errors. Quan tingueu l'oportunitat de treballar amb dispositius reals mentre feu pràctiques a Cisco, us ajudarà més que el simulador Packet Tracer. Una altra cosa útil en absència de dispositius reals seria GNC3, o un simulador de xarxa gràfic de Cisco. Aquest és un emulador que utilitza el sistema operatiu real d'un dispositiu, com ara un encaminador. Hi ha una diferència entre un simulador i un emulador: el primer és un programa que sembla un encaminador real, però no ho és. El programari emulador només crea el propi dispositiu, però utilitza programari real per fer-lo funcionar. Però si no teniu la capacitat d'executar el programari Cisco IOS real, Packet Tracer és la vostra millor opció.
Per tant, hem de configurar SW0 com a servidor VTP, per a això entro al mode de configuració de la configuració global i introdueixo l'ordre vtp versió 2. Com he dit, podem instal·lar la versió del protocol que necessitem - 1 o 2, en aquest cas que necessitem una segona versió. A continuació, utilitzant l'ordre vtp mode, establim el mode VTP de l'interruptor: servidor, client o transparent. En aquest cas, necessitem el mode servidor i, després d'introduir l'ordre del servidor del mode vtp, el sistema mostra un missatge que indica que el dispositiu ja està en mode servidor. A continuació, hem de configurar un domini VTP, per al qual fem servir l'ordre vtp domain nwking.org. Per què això és necessari? Si hi ha un altre dispositiu a la xarxa amb un número de revisió més alt, tots els altres dispositius amb un número de revisió inferior comencen a replicar la base de dades de VLAN des d'aquest dispositiu. Tanmateix, això només passa si els dispositius tenen el mateix nom de domini. Per exemple, si treballeu a nwking.org, indiqueu aquest domini, si a Cisco, el domini cisco.com, etc. El nom de domini dels dispositius de la vostra empresa us permet distingir-los dels dispositius d'una altra empresa o de qualsevol altre dispositiu extern de la xarxa. Quan assigneu el nom de domini d'una empresa a un dispositiu, el feu part de la xarxa d'aquesta empresa.
El següent que cal fer és establir la contrasenya del VTP. És necessari perquè un pirata informàtic, que tingui un dispositiu amb un número de revisió elevat, no pugui copiar la seva configuració de VTP al vostre commutador. Introdueixo la contrasenya de Cisco mitjançant l'ordre vtp password cisco. Després d'això, la replicació de les dades de VTP entre commutadors només serà possible si les contrasenyes coincideixen. Si s'utilitza la contrasenya incorrecta, la base de dades de VLAN no s'actualitzarà.
Intentem crear algunes VLAN més. Per fer-ho, faig servir l'ordre config t, faig servir l'ordre vlan 200 per crear un número de xarxa 200, li dono el nom TEST i deso els canvis amb l'ordre de sortida. A continuació, creo un altre vlan 500 i l'anomeno TEST1. Si ara introduïu l'ordre show vlan, a la taula de xarxes virtuals del commutador podreu veure aquestes dues xarxes noves, a les quals no s'ha assignat cap port.
Passem a SW1 i veiem el seu estat de VTP. Veiem que aquí no ha canviat res excepte el nom del domini, el nombre de VLAN segueix sent igual a 7. No veiem que apareixen les xarxes que hem creat perquè la contrasenya del VTP no coincideix. Establim la contrasenya VTP en aquest commutador introduint seqüencialment les ordres conf t, vtp pass i vtp password Cisco. El sistema va informar que la base de dades de VLAN del dispositiu ara utilitza la contrasenya de Cisco. Fem una altra ullada a l'estat del VTP per comprovar si la informació s'ha replicat. Com podeu veure, el nombre de VLAN existents ha augmentat automàticament a 9.
Si mireu la base de dades de VLAN d'aquest commutador, podeu veure que les xarxes VLAN200 i VLAN500 que vam crear hi apareixien automàticament.
El mateix s'ha de fer amb l'últim interruptor SW2. Introduïm l'ordre show vlan: podeu veure que no hi ha hagut cap canvi. De la mateixa manera, no hi ha cap canvi en l'estat del VTP. Perquè aquest commutador actualitzi la informació, també cal que configureu una contrasenya, és a dir, introduïu les mateixes ordres que per a SW1. Després d'això, el nombre de VLAN en estat SW2 augmentarà a 9.
Per això serveix VTP. Això és una cosa fantàstica que actualitza automàticament la informació a tots els dispositius de la xarxa client després que es facin canvis al dispositiu servidor. No cal que feu canvis manualment a la base de dades de VLAN de tots els commutadors; la replicació es produeix automàticament. Si teniu 200 dispositius de xarxa, els canvis que feu es desaran als dos-cents dispositius alhora. Per si de cas, ens hem d'assegurar que SW2 també és un client VTP, així que entrem a la configuració amb l'ordre config t i introduïm l'ordre client mode vtp.
Així, a la nostra xarxa només el primer commutador està en mode Servidor VTP, els altres dos funcionen en mode Client VTP. Si ara entro a la configuració de SW2 i introdueixo l'ordre vlan 1000, rebré el missatge: "La configuració de VTP VLAN no està permesa quan el dispositiu està en mode client". Per tant, no puc fer cap canvi a la base de dades de VLAN si el commutador està en mode de client VTP. Si vull fer algun canvi, he d'anar al servidor de commutació.
Vaig a la configuració del terminal SW0 i introduc les ordres vlan 999, anomeno IMRAN i surto. Aquesta nova xarxa ha aparegut a la base de dades de VLAN d'aquest commutador, i si ara vaig a la base de dades del commutador de client SW2, veuré que aquí ha aparegut la mateixa informació, és a dir, s'ha produït la replicació.
Com he dit, VTP és un gran programari, però si s'utilitza incorrectament, pot interrompre tota una xarxa. Per tant, cal tenir molta cura a l'hora de manejar la xarxa de l'empresa si el nom de domini i la contrasenya de VTP no estan configurats. En aquest cas, l'únic que ha de fer el pirata informàtic és connectar el cable del seu commutador a una presa de xarxa a la paret, connectar-se a qualsevol commutador d'oficina mitjançant el protocol DTP i després, mitjançant el tronc creat, actualitzar tota la informació mitjançant el protocol VTP. . D'aquesta manera, un pirata informàtic pot eliminar totes les VLAN importants, aprofitant que el número de revisió del seu dispositiu és superior al nombre de revisió d'altres commutadors. En aquest cas, els commutadors de l'empresa substituiran automàticament tota la informació de la base de dades de VLAN amb informació replicada des de l'interruptor maliciós i tota la vostra xarxa es col·lapsarà.
Això es deu al fet que els ordinadors estan connectats mitjançant un cable de xarxa a un port de commutació específic al qual s'assigna la VLAN 10 o la VLAN20. Si s'eliminen aquestes xarxes de la base de dades LAN del commutador, es desactivarà automàticament el port que pertany a la xarxa inexistent. Normalment, la xarxa d'una empresa pot col·lapsar-se precisament perquè els commutadors simplement desactiven els ports associats a les VLAN que es van eliminar durant la propera actualització.
Per evitar que es produeixi aquest problema, cal que configureu un nom de domini i una contrasenya VTP o utilitzeu la funció Cisco Port Security, que us permet gestionar les adreces MAC dels ports del commutador, introduint diverses restriccions al seu ús. Per exemple, si algú prova de canviar l'adreça MAC, el port baixarà immediatament. Aviat analitzarem aquesta característica dels commutadors de Cisco, però de moment tot el que necessiteu saber és que Port Security us permet assegurar-vos que VTP està protegit d'un atacant.
Resumim què és una configuració de VTP. Aquesta és l'elecció de la versió del protocol - 1 o 2, l'assignació del mode VTP - servidor, client o transparent. Com ja he dit, aquest últim mode no actualitza la base de dades VLAN del propi dispositiu, sinó que simplement transmet tots els canvis als dispositius veïns. A continuació es mostren les ordres per assignar un nom de domini i una contrasenya: vtp domain <nom de domini> i vtp password <contrasenya>.
Ara parlem de la configuració de poda VTP. Si observeu la topologia de la xarxa, podeu veure que els tres commutadors tenen la mateixa base de dades de VLAN, el que significa que VLAN10 i VLAN20 formen part dels tres commutadors. Tècnicament, el commutador SW3 no necessita VLAN2 perquè no té ports pertanyents a aquesta xarxa. Tanmateix, independentment d'això, tot el trànsit enviat des de l'ordinador Laptop20 a través de la xarxa VLAN0 arriba al commutador SW20 i des d'aquest passa pel tronc fins als ports SW1. La vostra tasca principal com a especialista en xarxes és assegurar-vos que es transmetin la menor quantitat possible de dades innecessàries per la xarxa. Heu d'assegurar-vos que es transmeten les dades necessàries, però com podeu limitar la transmissió d'informació que el dispositiu no necessita?
Heu d'assegurar-vos que el trànsit destinat als dispositius de la VLAN20 no flueixi als ports SW2 a través del tronc quan no és necessari. És a dir, el trànsit de Laptop0 hauria d'arribar a SW1 i després als ordinadors a VLAN20, però no hauria d'anar més enllà del port troncal dret de SW1. Això es pot aconseguir mitjançant la poda VTP.
Per fer-ho, hem d'anar a la configuració del servidor VTP SW0, perquè com ja he dit, la configuració de VTP només es pot fer a través del servidor, aneu a la configuració global i escriviu l'ordre de poda vtp. Com que Packet Tracer és només un programa de simulació, no hi ha cap ordre a les seves indicacions de línia d'ordres. Tanmateix, quan escric vtp pruning i prem Enter, el sistema em diu que el mode de poda vtp no està disponible.
Mitjançant l'ordre show vtp status, veurem que el mode de poda VTP està en estat desactivat, per la qual cosa l'hem de posar disponible movent-lo a la posició d'habilitació. Fet això, activem el mode de poda VTP als tres commutadors de la nostra xarxa dins del domini de xarxa.
Permeteu-me que us recordi què és la poda VTP. Quan habilitem aquest mode, el servidor del commutador SW0 informa al commutador SW2 que només està configurada la VLAN10 als seus ports. Després d'això, l'interruptor SW2 li diu a l'interruptor SW1 que no necessita cap trànsit que no sigui el trànsit destinat a la VLAN10. Ara, gràcies a VTP Pruning, el commutador SW1 té la informació que no necessita enviar trànsit VLAN20 al llarg del tronc SW1-SW2.
Això és molt convenient per a vostè com a administrador de xarxa. No cal que introduïu ordres manualment perquè l'interruptor és prou intel·ligent per enviar exactament el que necessita el dispositiu de xarxa específic. Si demà poseu un altre departament de màrqueting a l'edifici següent i connecteu la seva xarxa VLAN20 per canviar SW2, aquest commutador li dirà immediatament a l'interruptor SW1 que ara té VLAN10 i VLAN20 i li demanarà que reenviï el trànsit per a ambdues xarxes. Aquesta informació s'actualitza constantment a tots els dispositius, fent que la comunicació sigui més eficient.
Hi ha una altra manera d'especificar la transmissió del trànsit: utilitzar una ordre que permeti la transmissió de dades només per a la VLAN especificada. Vaig a la configuració de l'interruptor SW1, on m'interessa el port Fa0/4, i introdueixo les ordres int fa0/4 i switchport trunk allowed vlan. Com que ja sé que SW2 només té VLAN10, puc dir-li a SW1 que només permeti trànsit per a aquesta xarxa al seu port troncal mitjançant l'ordre vlan permesa. Així que vaig programar el port troncal Fa0/4 per portar trànsit només per a VLAN10. Això vol dir que aquest port no permetrà més trànsit des de VLAN1, VLAN20 o cap altra xarxa que no sigui la especificada.
Potser us preguntareu quina és millor utilitzar: poda VTP o l'ordre vlan permesa. La resposta és subjectiva perquè en alguns casos té sentit utilitzar el primer mètode, i en d'altres té sentit utilitzar el segon. Com a administrador de xarxa, depèn de vostè triar la millor solució. En alguns casos, la decisió de programar un port per permetre el trànsit d'una VLAN específica pot ser bona, però en altres pot ser dolenta. En el cas de la nostra xarxa, es pot justificar l'ús de l'ordre vlan permitida si no anem a canviar la topologia de la xarxa. Però si més tard algú vol afegir un grup de dispositius que utilitzen VLAN2 a SW 20, seria més recomanable utilitzar el mode de poda VTP.
Per tant, configurar VTP Pruning implica utilitzar les ordres següents. L'ordre vtp pruning proporciona l'ús automàtic d'aquest mode. Si voleu configurar la poda VTP d'un port troncal per permetre que el trànsit d'una VLAN específica passi manualment, feu servir l'ordre per seleccionar la interfície del número de port troncal <#>, habiliteu el tronc en mode switchport mode troncal i permeteu la transmissió del trànsit. a una xarxa específica utilitzant l'ordre vlan permitida del tronc de switchport .
A l'última comanda podeu utilitzar 5 paràmetres. Tot significa que la transmissió de trànsit per a totes les VLAN està permesa, cap: la transmissió de trànsit per a totes les VLAN està prohibida. Si utilitzeu el paràmetre add, podeu afegir el rendiment del trànsit per a una altra xarxa. Per exemple, permetem el trànsit VLAN10, i amb l'ordre add també podem permetre que passi el trànsit VLAN20. L'ordre remove us permet eliminar una de les xarxes, per exemple, si feu servir el paràmetre remove 20, només es mantindrà el trànsit VLAN10.
Ara mirem la VLAN nativa. Ja hem dit que la VLAN nativa és una xarxa virtual per passar trànsit sense etiquetar a través d'un port troncal específic.
Entro a la configuració específica del port tal com s'indica a la capçalera de la línia d'ordres SW(config-if)# i faig servir l'ordre switchport trunk native vlan <network number>, per exemple VLAN10. Ara tot el trànsit de VLAN10 passarà pel tronc sense etiquetar.
Tornem a la topologia de xarxa lògica a la finestra de Packet Tracer. Si faig servir l'ordre switchport trunk native vlan 20 al port de commutació Fa0/4, tot el trànsit de VLAN20 passarà pel tronc Fa0/4 – SW2 sense etiquetar. Quan l'interruptor SW2 rebi aquest trànsit, pensarà: "això és trànsit sense etiquetar, el que significa que l'hauria d'encaminar a la VLAN nativa". Per a aquest commutador, la VLAN nativa és la xarxa VLAN1. Les xarxes 1 i 20 no estan connectades de cap manera, però com que s'utilitza el mode VLAN natiu, tenim l'oportunitat d'encaminar el trànsit VLAN20 a una xarxa completament diferent. Tanmateix, aquest trànsit no estarà encapsulat i les xarxes en si han de coincidir.
Vegem-ho amb un exemple. Entraré a la configuració de SW1 i utilitzaré l'ordre del vlan natiu del tronc del switchport 10. Ara qualsevol trànsit VLAN10 sortirà del port del tronc sense etiquetar. Quan arribi al port troncal SW2, el commutador entendrà que l'ha de reenviar a la VLAN1. Com a conseqüència d'aquesta decisió, el trànsit no podrà arribar als ordinadors PC2, 3 i 4, ja que estan connectats als ports d'accés del commutador destinats a la VLAN10.
Tècnicament, això farà que el sistema informi que la VLAN nativa del port Fa0/4, que forma part de la VLAN10, no coincideix amb el port Fa0/1, que forma part de la VLAN1. Això vol dir que els ports especificats no podran funcionar en mode troncal a causa d'una discrepància de la VLAN nativa.
Gràcies per quedar-te amb nosaltres. T'agraden els nostres articles? Vols veure més contingut interessant? Doneu-nos suport fent una comanda o recomanant als amics, 30% de descompte per als usuaris d'Habr en un únic anàleg de servidors d'entrada, que hem inventat per a tu: (disponible amb RAID1 i RAID10, fins a 24 nuclis i fins a 40 GB DDR4).
Dell R730xd 2 vegades més barat? Només aquí als Països Baixos! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB - a partir de 99 $! Llegeix sobre
Font: www.habr.com