Dnes budeme pokračovat v diskusi o sítích VLAN a budeme diskutovat o protokolu VTP a také o konceptech VTP Pruning a Native VLAN. O VTP jsme již mluvili v jednom z předchozích videí a první věc, která by vás měla napadnout, když slyšíte o VTP, je, že to není trunkový protokol, přestože se nazývá „VLAN trunking protokol“.
Jak víte, existují dva populární trunkové protokoly – proprietární protokol Cisco ISL, který se dnes nepoužívá, a protokol 802.q, který se používá v síťových zařízeních různých výrobců k zapouzdření trunkového provozu. Tento protokol se také používá v přepínačích Cisco. Již jsme řekli, že VTP je VLAN synchronizační protokol, to znamená, že je navržen tak, aby synchronizoval databázi VLAN napříč všemi síťovými přepínači.
Zmínili jsme různé režimy VTP – server, klient, transparentní. Pokud zařízení používá režim serveru, umožňuje vám to provádět změny, přidávat nebo odebírat sítě VLAN. Klientský režim vám neumožňuje provádět změny v nastavení přepínače, databázi VLAN můžete konfigurovat pouze prostřednictvím serveru VTP a bude replikována na všechny klienty VTP. Přepínač v transparentním režimu neprovádí změny ve své vlastní databázi VLAN, ale jednoduše prochází sám sebou a přenáší změny na další zařízení v klientském režimu. Tento režim je podobný deaktivaci VTP na konkrétním zařízení, čímž se přemění na přenašeč informací o změně VLAN.
Vraťme se k programu Packet Tracer a topologii sítě probírané v předchozí lekci. Nakonfigurovali jsme síť VLAN10 pro obchodní oddělení a síť VLAN20 pro marketingové oddělení, zkombinovali jsme je se třemi přepínači.
Komunikace mezi přepínači SW0 a SW1 probíhá přes síť VLAN20 a mezi SW0 a SW2 je komunikace přes síť VLAN10 díky tomu, že jsme přidali VLAN10 do databáze VLAN přepínače SW1.
Abychom uvažovali o fungování protokolu VTP, použijme jako VTP server jeden z přepínačů, ať je to SW0. Pokud si pamatujete, ve výchozím nastavení všechny přepínače pracují v režimu serveru VTP. Pojďme na terminál příkazového řádku přepínače a zadejte příkaz show vtp status. Vidíte, že aktuální verze protokolu VTP je 2 a číslo revize konfigurace je 4. Pokud si pamatujete, pokaždé, když jsou v databázi VTP provedeny změny, číslo revize se zvýší o jednu.
Maximální počet podporovaných sítí VLAN je 255. Tento počet závisí na značce konkrétního přepínače Cisco, protože různé přepínače mohou podporovat různé počty místních virtuálních sítí. Počet stávajících VLAN je 7, za minutu se podíváme, co to jsou sítě. Režim ovládání VTP je server, název domény není nastaven, režim prořezávání VTP je zakázán, k tomu se vrátíme později. Režimy generování VTP V2 a VTP Traps jsou také zakázány. K úspěšnému složení zkoušky CCNA 200-125 nemusíte vědět o posledních dvou režimech, takže si s nimi nedělejte starosti.
Podívejme se na databázi VLAN pomocí příkazu show vlan. Jak jsme již viděli v předchozím videu, máme 4 nepodporované sítě: 1002, 1003, 1004 a 1005.
Uvádí také 2 sítě, které jsme vytvořili, VLAN10 a 20, a výchozí síť VLAN1. Nyní přejdeme k jinému přepínači a zadáním stejného příkazu zobrazíme stav VTP. Vidíte, že číslo revize tohoto přepínače je 3, je v režimu serveru VTP a všechny ostatní informace jsou podobné prvnímu přepínači. Když zadám příkaz show VLAN, vidím, že jsme provedli 2 změny nastavení, o jednu méně než přepínač SW0, proto je číslo revize SW1 3. Provedli jsme 3 změny výchozího nastavení prvního přepínač, proto se jeho číslo revize zvýšilo na 4.
Nyní se podívejme na stav SW2. Číslo revize je zde 1, což je zvláštní. Musíme mít druhou revizi, protože byla provedena 1 změna nastavení. Podívejme se na databázi VLAN.
Udělali jsme jednu změnu, vytvořili jsme VLAN10, a nevím, proč nebyly tyto informace aktualizovány. Možná se to stalo proto, že nemáme skutečnou síť, ale softwarový síťový simulátor, který může mít chyby. Když máte možnost pracovat se skutečnými zařízeními při stáži v Cisco, pomůže vám to více než simulátor Packet Tracer. Další užitečnou věcí při absenci skutečných zařízení by byl GNC3, neboli grafický simulátor sítě Cisco. Jedná se o emulátor, který používá skutečný operační systém zařízení, jako je router. Mezi simulátorem a emulátorem je rozdíl – první je program, který vypadá jako skutečný router, ale není jím. Software emulátoru vytváří pouze samotné zařízení, ale k jeho ovládání používá skutečný software. Pokud však nemáte možnost spouštět skutečný software Cisco IOS, je Packet Tracer vaší nejlepší volbou.
Potřebujeme tedy nakonfigurovat SW0 jako VTP server, za tímto účelem přejdu do režimu konfigurace globálního nastavení a zadám příkaz vtp verze 2. Jak jsem řekl, můžeme nainstalovat verzi protokolu, kterou potřebujeme - 1 nebo 2, v tomto v případě, že potřebujeme druhou verzi. Dále pomocí příkazu vtp mode nastavíme VTP režim přepínače - server, klient nebo transparent. V tomto případě potřebujeme režim serveru a po zadání příkazu server vtp mode systém zobrazí zprávu, že zařízení je již v režimu serveru. Dále musíme nakonfigurovat doménu VTP, pro kterou použijeme příkaz vtp domain nwking.org. Proč je to nutné? Pokud je v síti další zařízení s vyšším číslem revize, všechna ostatní zařízení s nižším číslem revize začnou replikovat databázi VLAN z tohoto zařízení. To se však stane pouze v případě, že zařízení mají stejný název domény. Pokud například pracujete na nwking.org, označíte tuto doménu, pokud na Cisco, pak doménu cisco.com a tak dále. Název domény zařízení vaší společnosti vám umožňuje odlišit je od zařízení od jiné společnosti nebo od jakýchkoli jiných externích zařízení v síti. Když zařízení přiřadíte název domény společnosti, stane se součástí sítě této společnosti.
Další věcí, kterou musíte udělat, je nastavit heslo VTP. Je potřeba, aby hacker, který má zařízení s vysokým číslem revize, nemohl zkopírovat svá nastavení VTP do vašeho přepínače. Heslo cisco zadávám pomocí příkazu vtp password cisco. Poté bude replikace dat VTP mezi přepínači možná pouze v případě, že se hesla shodují. Pokud je použito špatné heslo, databáze VLAN nebude aktualizována.
Zkusme vytvořit další VLAN. K tomu používám příkaz config t, pomocí příkazu vlan 200 vytvořím číslo sítě 200, dám mu název TEST a uložím změny příkazem exit. Poté vytvořím další vlan 500 a nazvu jej TEST1. Pokud nyní zadáte příkaz show vlan, pak v tabulce virtuálních sítí přepínače vidíte tyto dvě nové sítě, ke kterým není přiřazen ani jeden port.
Pojďme k SW1 a podívejme se na jeho stav VTP. Vidíme, že se zde kromě názvu domény nic nezměnilo, počet VLAN zůstává roven 7. Nevidíme sítě, které jsme vytvořili, protože se neshoduje heslo VTP. Nastavíme heslo VTP na tomto přepínači postupným zadáním příkazů conf t, vtp pass a vtp password Cisco. Systém oznámil, že databáze VLAN zařízení nyní používá heslo Cisco. Podívejme se znovu na stav VTP a zkontrolujeme, zda byly informace replikovány. Jak vidíte, počet stávajících VLAN se automaticky zvýšil na 9.
Pokud se podíváte do databáze VLAN tohoto přepínače, můžete vidět, že se v ní automaticky objevily námi vytvořené sítě VLAN200 a VLAN500.
Totéž je potřeba udělat s posledním spínačem SW2. Zadáme příkaz show vlan – vidíte, že v něm nenastaly žádné změny. Stejně tak nedochází ke změně stavu VTP. Aby tento přepínač aktualizoval informace, musíte také nastavit heslo, tj. zadat stejné příkazy jako u SW1. Poté se počet VLAN ve stavu SW2 zvýší na 9.
K tomu slouží VTP. To je skvělá věc, která automaticky aktualizuje informace ve všech klientských síťových zařízeních po provedení změn na serverovém zařízení. Nemusíte ručně provádět změny ve VLAN databázi všech přepínačů – replikace probíhá automaticky. Pokud máte 200 síťových zařízení, provedené změny se uloží na všech dvě stě zařízení současně. Pro každý případ se musíme ujistit, že SW2 je také klient VTP, takže přejděte do nastavení pomocí příkazu config t a zadejte příkaz klienta vtp mode.
V naší síti je tedy pouze první přepínač v režimu VTP Server, další dva pracují v režimu VTP Klient. Pokud nyní přejdu do nastavení SW2 a zadám příkaz vlan 1000, zobrazí se mi zpráva: „Konfigurace VTP VLAN není povolena, když je zařízení v režimu klienta“. Nemohu tedy provádět žádné změny v databázi VLAN, pokud je přepínač v režimu klienta VTP. Pokud chci provést nějaké změny, musím přejít na přepínací server.
Jdu do nastavení terminálu SW0 a zadám příkazy vlan 999, jméno IMRAN a exit. Tato nová síť se objevila ve VLAN databázi tohoto switche a pokud nyní přejdu do databáze klientského switche SW2, uvidím, že se zde objevila stejná informace, tedy došlo k replikaci.
Jak jsem řekl, VTP je skvělý software, ale při nesprávném použití může narušit celou síť. Proto je třeba být velmi opatrní při manipulaci s firemní sítí, pokud není nastaveno doménové jméno a VTP heslo. V tomto případě hackerovi stačí zapojit kabel svého switche do síťové zásuvky na zdi, připojit se k libovolnému kancelářskému switchi pomocí DTP protokolu a následně pomocí vytvořeného trunku aktualizovat všechny informace pomocí VTP protokolu . Hacker tak může smazat všechny důležité VLAN a využít toho, že číslo revize jeho zařízení je vyšší než číslo revize ostatních přepínačů. V tomto případě přepínače společnosti automaticky nahradí všechny informace z databáze VLAN informacemi replikovanými ze škodlivého přepínače a celá vaše síť se zhroutí.
To je způsobeno tím, že počítače jsou připojeny pomocí síťového kabelu ke konkrétnímu portu přepínače, ke kterému je přiřazena VLAN 10 nebo VLAN20. Pokud jsou tyto sítě vymazány z LAN databáze přepínače, automaticky deaktivuje port patřící k neexistující síti. Typicky se firemní síť může zhroutit právě proto, že přepínače jednoduše deaktivují porty spojené s VLAN, které byly odstraněny během příští aktualizace.
Aby k takovému problému nedocházelo, je třeba nastavit název a heslo VTP domény nebo použít funkci Cisco Port Security, která umožňuje spravovat MAC adresy portů přepínačů a zavádí různá omezení jejich použití. Pokud se například někdo jiný pokusí změnit MAC adresu, port okamžitě klesne. Velmi brzy se na tuto funkci přepínačů Cisco podíváme blíže, ale prozatím vše, co potřebujete vědět, je, že Port Security vám umožňuje zajistit, aby byl VTP chráněn před útočníkem.
Pojďme si shrnout, co je nastavení VTP. Jedná se o volbu verze protokolu - 1 nebo 2, přiřazení režimu VTP - server, klient nebo transparentní. Jak jsem již řekl, druhý režim neaktualizuje databázi VLAN samotného zařízení, ale jednoduše přenáší všechny změny na sousední zařízení. Následují příkazy pro přiřazení názvu domény a hesla: doména vtp <název domény> a heslo vtp <heslo>.
Nyní si povíme něco o nastavení VTP Pruning. Pokud se podíváte na topologii sítě, můžete vidět, že všechny tři přepínače mají stejnou databázi VLAN, což znamená, že VLAN10 a VLAN20 jsou součástí všech 3 přepínačů. Technicky switch SW2 nepotřebuje VLAN20, protože nemá porty patřící do této sítě. Bez ohledu na to však veškerý provoz odesílaný z počítače Laptop0 přes síť VLAN20 dosáhne přepínače SW1 a z něj jde kmenem do portů SW2. Vaším hlavním úkolem jako síťového specialisty je zajistit, aby se po síti přenášelo co nejméně zbytečných dat. Musíte zajistit přenos potřebných dat, ale jak můžete omezit přenos informací, které zařízení nepotřebuje?
Musíte zajistit, aby provoz určený pro zařízení na VLAN20 neprocházel do portů SW2 přes trunk, když to není vyžadováno. To znamená, že provoz notebooku 0 by měl dosáhnout SW1 a poté do počítačů na VLAN20, ale neměl by přesahovat pravý trunk port SW1. Toho lze dosáhnout pomocí VTP Pruning.
K tomu musíme přejít do nastavení VTP serveru SW0, protože jak jsem již řekl, nastavení VTP lze provést pouze přes server, přejděte do globálního nastavení konfigurace a zadejte příkaz vtp pruning. Vzhledem k tomu, že Packet Tracer je pouze simulační program, ve výzvách příkazového řádku žádný takový příkaz není. Když však napíšu vtp prořezávání a stisknu Enter, systém mi řekne, že režim prořezávání vtp není k dispozici.
Pomocí příkazu show vtp status uvidíme, že režim VTP Pruning je ve vypnutém stavu, takže jej musíme zpřístupnit přesunutím do polohy povolení. Poté aktivujeme režim VTP Pruning na všech třech přepínačích naší sítě v rámci síťové domény.
Dovolte mi připomenout, co je VTP Pruning. Když povolíme tento režim, přepínací server SW0 informuje přepínač SW2, že na jeho portech je nakonfigurována pouze VLAN10. Poté přepínač SW2 sdělí přepínači SW1, že nepotřebuje žádný jiný provoz než provoz určený pro VLAN10. Nyní, díky VTP Pruning, má přepínač SW1 informaci, že nepotřebuje posílat provoz VLAN20 po svazku SW1-SW2.
To je pro vás jako správce sítě velmi výhodné. Nemusíte ručně zadávat příkazy, protože přepínač je dostatečně chytrý, aby odeslal přesně to, co konkrétní síťové zařízení potřebuje. Pokud zítra umístíte další marketingové oddělení do vedlejší budovy a připojíte jeho síť VLAN20 k přepínači SW2, tento přepínač okamžitě řekne přepínači SW1, že nyní má VLAN10 a VLAN20, a požádá ho o předání provozu pro obě sítě. Tyto informace jsou neustále aktualizovány napříč všemi zařízeními, díky čemuž je komunikace efektivnější.
Existuje ještě jeden způsob, jak určit přenos provozu - to je použití příkazu, který umožňuje přenos dat pouze pro zadanou VLAN. Jdu do nastavení switche SW1, kde mě zajímá port Fa0/4 a zadám příkazy int fa0/4 a switchport trunk povolený vlan. Vzhledem k tomu, že již vím, že SW2 má pouze VLAN10, mohu říci SW1, aby povolil pouze provoz pro tuto síť na svém kmenovém portu pomocí povoleného příkazu vlan. Naprogramoval jsem tedy trunk port Fa0/4 tak, aby přenášel provoz pouze pro VLAN10. To znamená, že tento port neumožní další provoz z VLAN1, VLAN20 nebo jakékoli jiné sítě než uvedené.
Možná se ptáte, co je lepší použít: VTP Pruning nebo povolený příkaz vlan. Odpověď je subjektivní, protože v některých případech má smysl použít první metodu a v jiných má smysl použít druhou. Jako správce sítě je na vás, abyste si vybrali to nejlepší řešení. V některých případech může být rozhodnutí naprogramovat port tak, aby umožňoval provoz z konkrétní VLAN, dobré, ale v jiných může být špatné. V případě naší sítě může být použití povoleného příkazu vlan opodstatněné, pokud nehodláme měnit topologii sítě. Pokud by ale někdo později chtěl do SW 2 přidat skupinu zařízení využívajících VLAN20, bylo by vhodnější použít režim VTP Pruning.
Nastavení VTP Pruning tedy zahrnuje použití následujících příkazů. Příkaz vtp pruning poskytuje automatické použití tohoto režimu. Pokud chcete nakonfigurovat VTP Pruning trunk portu tak, aby provoz konkrétní VLAN procházel ručně, pak použijte příkaz k výběru rozhraní čísla portu trunk <#>, povolte trunk režimu switchport mode trunk a povolte přenos provozu do konkrétní sítě pomocí příkazu vlan s povoleným trunkport trunk .
V posledním příkazu můžete použít 5 parametrů. All znamená, že přenos provozu pro všechny VLAN je povolen, žádný – přenos provozu pro všechny VLAN je zakázán. Pokud použijete parametr add, můžete přidat propustnost provozu pro jinou síť. Například povolíme provoz VLAN10 a pomocí příkazu add můžeme také umožnit průchod provozu VLAN20. Příkaz remove umožňuje odebrat jednu ze sítí, například pokud použijete parametr remove 20, zůstane pouze provoz VLAN10.
Nyní se podíváme na nativní VLAN. Již jsme řekli, že nativní VLAN je virtuální síť pro předávání neoznačeného provozu přes konkrétní trunk port.
Jdu do konkrétního nastavení portu, jak je uvedeno v záhlaví příkazového řádku SW(config-if)# a použiji příkaz switchport trunk native vlan <číslo sítě>, například VLAN10. Nyní bude veškerý provoz na VLAN10 procházet neoznačeným kmenem.
Vraťme se k topologii logické sítě v okně Packet Tracer. Pokud použiji příkaz switchport trunk nativní vlan 20 na přepínačovém portu Fa0/4, pak veškerý provoz na VLAN20 poteče skrz Fa0/4 – SW2 trunk bez označení. Když přepínač SW2 přijme tento provoz, bude si myslet: „toto je neoznačený provoz, což znamená, že bych ho měl směrovat do nativní VLAN“. Pro tento přepínač je nativní VLAN síť VLAN1. Sítě 1 a 20 nejsou nijak propojeny, ale jelikož je použit nativní režim VLAN, máme možnost směrovat provoz VLAN20 do úplně jiné sítě. Tento provoz však bude nezapouzdřený a samotné sítě se musí stále shodovat.
Podívejme se na to na příkladu. Půjdu do nastavení SW1 a použiji příkaz switchport trunk native vlan 10. Nyní bude veškerý provoz VLAN10 vycházet z trunk portu neoznačený. Když dosáhne trunk portu SW2, přepínač pochopí, že jej musí předat do VLAN1. V důsledku tohoto rozhodnutí se provoz nebude moci dostat k počítačům PC2, 3 a 4, protože jsou připojeny k portům pro přístup k přepínačům určeným pro VLAN10.
Technicky to způsobí, že systém ohlásí, že nativní VLAN portu Fa0/4, který je součástí VLAN10, neodpovídá portu Fa0/1, který je součástí VLAN1. To znamená, že zadané porty nebudou moci fungovat v režimu trunku kvůli nativnímu nesouladu VLAN.
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, 30% sleva pro uživatele Habr na unikátní obdobu entry-level serverů, kterou jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2x levnější? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com