I dag vil vi fortsætte vores diskussion af VLAN'er og diskutere VTP-protokollen, såvel som koncepterne for VTP-beskæring og Native VLAN. Vi har allerede talt om VTP i en af de tidligere videoer, og det første, du bør tænke på, når du hører om VTP, er, at det ikke er en trunking-protokol, på trods af at den bliver kaldt en "VLAN-trunking-protokol."
Som du ved, er der to populære trunking-protokoller – den proprietære Cisco ISL-protokol, som ikke bruges i dag, og 802.q-protokollen, som bruges i netværksenheder fra forskellige producenter til at indkapsle trunking-trafik. Denne protokol bruges også i Cisco-switches. Vi har allerede sagt, at VTP er en VLAN-synkroniseringsprotokol, det vil sige, at den er designet til at synkronisere VLAN-databasen på tværs af alle netværksswitches.
Vi nævnte forskellige VTP-tilstande - server, klient, transparent. Hvis enheden bruger servertilstand, giver dette dig mulighed for at foretage ændringer, tilføje eller fjerne VLAN'er. Klienttilstand tillader dig ikke at foretage ændringer i switch-indstillingerne, du kan kun konfigurere VLAN-databasen gennem VTP-serveren, og den vil blive replikeret på alle VTP-klienter. En switch i transparent tilstand foretager ikke ændringer i sin egen VLAN-database, men går blot gennem sig selv og overfører ændringerne til den næste enhed i klienttilstand. Denne tilstand svarer til at deaktivere VTP på en specifik enhed, der gør den til en transportør af VLAN-ændringsoplysninger.
Lad os vende tilbage til Packet Tracer-programmet og netværkstopologien, der blev diskuteret i den forrige lektion. Vi konfigurerede et VLAN10-netværk til salgsafdelingen og et VLAN20-netværk til marketingafdelingen, der kombinerede dem med tre switche.
Mellem switches SW0 og SW1 kommunikation udføres over VLAN20 netværket, og mellem SW0 og SW2 er der kommunikation over VLAN10 netværket på grund af det faktum, at vi tilføjede VLAN10 til VLAN databasen af switch SW1.
For at overveje driften af VTP-protokollen, lad os bruge en af switchene som en VTP-server, lad det være SW0. Hvis du husker det, fungerer alle switches som standard i VTP-servertilstand. Lad os gå til kommandolinjeterminalen på switchen og indtaste kommandoen show vtp status. Du kan se, at den aktuelle VTP-protokolversion er 2, og konfigurationsrevisionsnummeret er 4. Hvis du husker, at hver gang der foretages ændringer i VTP-databasen, stiger revisionsnummeret med én.
Det maksimale antal understøttede VLAN'er er 255. Dette antal afhænger af mærket på den specifikke Cisco-switch, da forskellige switches kan understøtte forskellige antal lokale virtuelle netværk. Antallet af eksisterende VLAN'er er 7, om et minut vil vi se på, hvad disse netværk er. VTP-kontroltilstand er server, domænenavn er ikke indstillet, VTP-beskæringstilstand er deaktiveret, vi vender tilbage til dette senere. VTP V2 og VTP Traps Generation tilstande er også deaktiveret. Du behøver ikke at vide om de sidste to tilstande for at bestå 200-125 CCNA eksamen, så du skal ikke bekymre dig om dem.
Lad os tage et kig på VLAN-databasen ved at bruge kommandoen show vlan. Som vi allerede så i den forrige video, har vi 4 ikke-understøttede netværk: 1002, 1003, 1004 og 1005.
Den viser også de 2 netværk, vi oprettede, VLAN10 og 20, og standardnetværket, VLAN1. Lad os nu gå videre til en anden switch og indtaste den samme kommando for at se VTP-status. Du kan se, at revisionsnummeret på denne switch er 3, den er i VTP-servertilstand og alle andre oplysninger ligner den første switch. Når jeg indtaster kommandoen show VLAN, kan jeg se, at vi har lavet 2 ændringer af indstillingerne, en mindre end switch SW0, hvorfor revisionsnummeret på SW1 er 3. Vi har lavet 3 ændringer af standardindstillingerne for den første skifte, derfor er dens revisionsnummer øget til 4.
Lad os nu se på status for SW2. Revisionsnummeret her er 1, hvilket er mærkeligt. Vi skal have en anden revision, fordi 1 indstillingsændring blev foretaget. Lad os se på VLAN-databasen.
Vi lavede en ændring ved at oprette VLAN10, og jeg ved ikke, hvorfor den information ikke blev opdateret. Måske skete dette, fordi vi ikke har et rigtigt netværk, men en softwarenetværkssimulator, som kan have fejl. Når du har mulighed for at arbejde med rigtige enheder, mens du er i praktik hos Cisco, vil det hjælpe dig mere end Packet Tracer-simulatoren. En anden nyttig ting i mangel af rigtige enheder ville være GNC3 eller en grafisk Cisco netværkssimulator. Dette er en emulator, der bruger det rigtige operativsystem på en enhed, såsom en router. Der er forskel på en simulator og en emulator - førstnævnte er et program, der ligner en rigtig router, men ikke er en. Emulatorsoftwaren opretter kun selve enheden, men bruger ægte software til at betjene den. Men hvis du ikke har muligheden for at køre faktisk Cisco IOS-software, er Packet Tracer din bedste mulighed.
Så vi skal konfigurere SW0 som en VTP-server, for dette går jeg ind i konfigurationstilstanden for globale indstillinger og indtaster kommandoen vtp version 2. Som sagt kan vi installere den protokolversion, vi har brug for - 1 eller 2, i denne hvis vi har brug for en anden version. Dernæst, ved hjælp af kommandoen vtp mode, indstiller vi VTP-tilstanden for switchen - server, klient eller transparent. I dette tilfælde har vi brug for servertilstand, og efter at have indtastet serverkommandoen vtp mode, viser systemet en besked om, at enheden allerede er i servertilstand. Dernæst skal vi konfigurere et VTP-domæne, som vi bruger kommandoen vtp-domæne nwking.org til. Hvorfor er dette nødvendigt? Hvis der er en anden enhed på netværket med et højere revisionsnummer, begynder alle andre enheder med et lavere revisionsnummer at replikere VLAN-databasen fra denne enhed. Dette sker dog kun, hvis enhederne har samme domænenavn. For eksempel, hvis du arbejder på nwking.org, angiver du dette domæne, hvis du er hos Cisco, så domænet cisco.com, og så videre. Domænenavnet på din virksomheds enheder giver dig mulighed for at skelne dem fra enheder fra et andet firma eller fra andre eksterne enheder på netværket. Når du tildeler en virksomheds domænenavn til en enhed, gør du den til en del af virksomhedens netværk.
Den næste ting at gøre er at indstille VTP-adgangskoden. Det er nødvendigt, så en hacker, der har en enhed med et højt revisionsnummer, ikke kan kopiere sine VTP-indstillinger til din switch. Jeg indtaster cisco-adgangskoden ved hjælp af vtp password cisco-kommandoen. Herefter vil replikering af VTP-data mellem switches kun være mulig, hvis adgangskoderne matcher. Hvis den forkerte adgangskode bruges, vil VLAN-databasen ikke blive opdateret.
Lad os prøve at skabe nogle flere VLAN'er. For at gøre dette bruger jeg kommandoen config t, bruger vlan 200-kommandoen til at oprette et netværksnummer 200, giver det navnet TEST og gemmer ændringerne med exit-kommandoen. Så laver jeg endnu en vlan 500 og kalder den TEST1. Hvis du nu indtaster kommandoen show vlan, så kan du i tabellen over switchens virtuelle netværk se disse to nye netværk, som ikke er tildelt en eneste port.
Lad os gå videre til SW1 og se dens VTP-status. Vi ser, at intet er ændret her undtagen domænenavnet, antallet af VLAN'er forbliver lig med 7. Vi ser ikke de netværk, vi har oprettet, vises, fordi VTP-adgangskoden ikke stemmer overens. Lad os indstille VTP-adgangskoden på denne switch ved sekventielt at indtaste kommandoerne conf t, vtp pass og vtp password Cisco. Systemet rapporterede, at enhedens VLAN-database nu bruger Cisco-adgangskoden. Lad os tage endnu et kig på VTP-statussen for at kontrollere, om oplysningerne er blevet replikeret. Som du kan se, er antallet af eksisterende VLAN'er automatisk steget til 9.
Hvis du ser på denne switchs VLAN-database, kan du se, at de VLAN200- og VLAN500-netværk, vi oprettede, automatisk dukkede op i den.
Det samme skal gøres med den sidste switch SW2. Lad os indtaste kommandoen show vlan - du kan se, at der ikke er sket ændringer i den. Ligeledes er der ingen ændring i VTP-status. For at denne switch skal opdatere oplysningerne, skal du også oprette en adgangskode, det vil sige indtaste de samme kommandoer som for SW1. Herefter vil antallet af VLAN'er i SW2-status stige til 9.
Det er det, VTP er til for. Dette er en fantastisk ting, der automatisk opdaterer oplysninger i alle klientnetværksenheder efter ændringer er foretaget på serverenheden. Du behøver ikke manuelt at foretage ændringer i VLAN-databasen for alle switches - replikering sker automatisk. Hvis du har 200 netværksenheder, vil de ændringer, du foretager, blive gemt på alle to hundrede enheder på samme tid. For en sikkerheds skyld skal vi sikre os, at SW2 også er en VTP-klient, så lad os gå ind i indstillingerne med config t-kommandoen og indtaste vtp-mode-klientkommandoen.
I vores netværk er kun den første switch i VTP-servertilstand, de to andre fungerer i VTP-klienttilstand. Hvis jeg nu går ind i SW2-indstillingerne og indtaster vlan 1000-kommandoen, vil jeg modtage beskeden: "Konfiguration af VTP VLAN er ikke tilladt, når enheden er i klienttilstand." Jeg kan således ikke foretage ændringer i VLAN-databasen, hvis switchen er i VTP-klienttilstand. Hvis jeg vil foretage ændringer, skal jeg gå til switch-serveren.
Jeg går til SW0-terminalindstillingerne og indtaster kommandoerne vlan 999, navngiver IMRAN og afslutter. Dette nye netværk er dukket op i denne switchs VLAN-database, og hvis jeg nu går til databasen for klientswitchen SW2, vil jeg se, at den samme information er dukket op her, det vil sige, at der er sket replikering.
Som sagt er VTP et fantastisk stykke software, men hvis det bruges forkert, kan det forstyrre et helt netværk. Derfor skal du være meget forsigtig, når du håndterer virksomhedens netværk, hvis domænenavnet og VTP-adgangskoden ikke er indstillet. I dette tilfælde er alt, hvad hackeren skal gøre, at sætte kablet på sin switch til et netværksstik på væggen, oprette forbindelse til enhver kontorswitch ved hjælp af DTP-protokollen og derefter, ved hjælp af den oprettede trunk, opdatere alle oplysninger ved hjælp af VTP-protokollen . På denne måde kan en hacker slette alle vigtige VLAN'er og drage fordel af det faktum, at revisionsnummeret på hans enhed er højere end revisionstallet på andre switches. I dette tilfælde vil virksomhedens switches automatisk erstatte alle VLAN-databaseoplysninger med information replikeret fra den ondsindede switch, og hele dit netværk vil kollapse.
Dette skyldes, at computere er forbundet med et netværkskabel til en specifik switchport, som VLAN 10 eller VLAN20 er tildelt. Hvis disse netværk slettes fra switchens LAN-database, vil det automatisk deaktivere porten, der hører til det ikke-eksisterende netværk. Typisk kan en virksomheds netværk kollapse, netop fordi switchene simpelthen deaktiverer porte forbundet med VLAN'er, der blev fjernet under den næste opdatering.
For at forhindre et sådant problem i at opstå, skal du indstille et VTP-domænenavn og en adgangskode eller bruge Cisco Port Security-funktionen, som giver dig mulighed for at administrere MAC-adresserne på switch-porte og indføre forskellige begrænsninger for deres brug. For eksempel, hvis en anden forsøger at ændre MAC-adressen, vil porten straks gå ned. Vi vil se nærmere på denne funktion af Cisco-switches meget snart, men indtil videre er alt hvad du behøver at vide, at Port Security giver dig mulighed for at sikre, at VTP er beskyttet mod en hacker.
Lad os opsummere, hvad en VTP-indstilling er. Dette er valget af protokolversion - 1 eller 2, tildelingen af VTP-tilstand - server, klient eller transparent. Som jeg allerede har sagt, opdaterer sidstnævnte tilstand ikke selve enhedens VLAN-database, men overfører blot alle ændringer til naboenheder. Følgende er kommandoerne til at tildele et domænenavn og en adgangskode: vtp-domæne <domænenavn> og vtp-adgangskode <adgangskode>.
Lad os nu tale om indstillingerne for VTP-beskæring. Hvis man ser på netværkstopologien, kan man se, at alle tre switches har den samme VLAN-database, hvilket betyder at VLAN10 og VLAN20 er en del af alle 3 switche. Teknisk set behøver switch SW2 ikke VLAN20, fordi den ikke har porte, der hører til dette netværk. Men uanset dette, når al trafik sendt fra Laptop0-computeren via VLAN20-netværket SW1-switchen og går fra den gennem trunk til SW2-portene. Din primære opgave som netværksspecialist er at sikre, at så lidt unødvendig data som muligt overføres over netværket. Du skal sørge for, at de nødvendige data overføres, men hvordan kan du begrænse transmissionen af information, som enheden ikke har brug for?
Du skal sikre, at trafik bestemt til enheder på VLAN20 ikke strømmer til SW2-portene gennem trunk, når det ikke er påkrævet. Det vil sige, at Laptop0-trafik skal nå SW1 og derefter til computere på VLAN20, men bør ikke gå ud over den rigtige trunk-port på SW1. Dette kan opnås ved hjælp af VTP-beskæring.
For at gøre dette skal vi gå til indstillingerne for VTP-serveren SW0, for som jeg allerede sagde, kan VTP-indstillinger kun foretages via serveren, gå til de globale konfigurationsindstillinger og skriv vtp-beskæringskommandoen. Da Packet Tracer kun er et simuleringsprogram, er der ingen sådan kommando i dens kommandolinjeprompter. Men når jeg skriver vtp pruning og trykker på Enter, fortæller systemet mig, at vtp pruning mode ikke er tilgængelig.
Ved at bruge kommandoen show vtp status, vil vi se, at VTP-beskæringstilstanden er i deaktiveret tilstand, så vi skal gøre den tilgængelig ved at flytte den til aktiveringspositionen. Efter at have gjort dette, aktiverer vi VTP-beskæringstilstanden på alle tre switche i vores netværk inden for netværksdomænet.
Lad mig minde dig om, hvad VTP-beskæring er. Når vi aktiverer denne tilstand, informerer switch-server SW0 switch SW2 om, at kun VLAN10 er konfigureret på dens porte. Herefter fortæller switch SW2 switch SW1, at den ikke har brug for anden trafik end trafik beregnet til VLAN10. Nu, takket være VTP-beskæring, har switch SW1 informationen om, at den ikke behøver at sende VLAN20-trafik langs SW1-SW2-stammen.
Dette er meget praktisk for dig som netværksadministrator. Du behøver ikke manuelt indtaste kommandoer, fordi switchen er smart nok til at sende præcis det, den specifikke netværksenhed har brug for. Hvis du i morgen sætter en anden marketingafdeling i den næste bygning og forbinder dens VLAN20-netværk til switch SW2, vil den switch straks fortælle switch SW1, at den nu har VLAN10 og VLAN20 og beder den videresende trafik for begge netværk. Disse oplysninger opdateres konstant på tværs af alle enheder, hvilket gør kommunikationen mere effektiv.
Der er en anden måde at specificere transmissionen af trafik på - dette er at bruge en kommando, der kun tillader datatransmission for det angivne VLAN. Jeg går til indstillingerne for switch SW1, hvor jeg er interesseret i port Fa0/4, og indtaster kommandoerne int fa0/4 og switchport trunk tilladt vlan. Da jeg allerede ved, at SW2 kun har VLAN10, kan jeg fortælle SW1 kun at tillade trafik for det netværk på dets trunkport ved at bruge den tilladte vlan-kommando. Så jeg programmerede trunkport Fa0/4 til kun at transportere trafik til VLAN10. Dette betyder, at denne port ikke tillader yderligere trafik fra VLAN1, VLAN20 eller noget andet netværk end det angivne.
Du spekulerer måske på, hvad der er bedre at bruge: VTP-beskæring eller den tilladte vlan-kommando. Svaret er subjektivt, fordi det i nogle tilfælde giver mening at bruge den første metode, og i andre giver det mening at bruge den anden. Som netværksadministrator er det op til dig at vælge den bedste løsning. I nogle tilfælde kan beslutningen om at programmere en port til at tillade trafik fra et specifikt VLAN være god, men i andre kan den være dårlig. I tilfælde af vores netværk kan det være berettiget at bruge den tilladte vlan-kommando, hvis vi ikke vil ændre netværkstopologien. Men hvis nogen senere ønsker at tilføje en gruppe af enheder, der bruger VLAN2 til SW 20, ville det være mere tilrådeligt at bruge VTP-beskæringstilstanden.
Så opsætning af VTP-beskæring involverer brug af følgende kommandoer. vtp beskæringskommandoen giver automatisk brug af denne tilstand. Hvis du ønsker at konfigurere VTP-beskæring af en trunk-port til at tillade trafik fra et specifikt VLAN at passere manuelt, så brug kommandoen til at vælge trunk-portnummergrænsefladen <#>, aktivere trunk mode switchport mode trunk og tillade transmission af trafik til et specifikt netværk ved hjælp af switchport trunk tilladt vlan kommando .
I den sidste kommando kan du bruge 5 parametre. Alt betyder, at trafiktransmission for alle VLAN'er er tilladt, ingen - trafiktransmission for alle VLAN'er er forbudt. Hvis du bruger add-parameteren, kan du tilføje trafikgennemstrømning for et andet netværk. For eksempel tillader vi VLAN10-trafik, og med add-kommandoen kan vi også tillade VLAN20-trafik at passere igennem. Remove-kommandoen giver dig mulighed for at fjerne et af netværkene, hvis du for eksempel bruger parameteren remove 20, vil kun VLAN10-trafik blive tilbage.
Lad os nu se på det oprindelige VLAN. Vi har allerede sagt, at native VLAN er et virtuelt netværk til at sende umærket trafik gennem en specifik trunkport.
Jeg går ind i de specifikke portindstillinger som angivet af SW(config-if)# kommandolinjeoverskriften og bruger kommandoen switchport trunk native vlan <netværksnummer>, for eksempel VLAN10. Nu vil al trafik på VLAN10 gå gennem den umærkede trunk.
Lad os vende tilbage til den logiske netværkstopologi i Packet Tracer-vinduet. Hvis jeg bruger switchport trunk native vlan 20 kommandoen på switch port Fa0/4, så vil al trafik på VLAN20 flyde gennem Fa0/4 – SW2 trunk umærket. Når switch SW2 modtager denne trafik, vil den tænke: "Dette er umærket trafik, hvilket betyder, at jeg bør dirigere den til det oprindelige VLAN." For denne switch er det oprindelige VLAN VLAN1-netværket. Netværk 1 og 20 er ikke forbundet på nogen måde, men da native VLAN-tilstand bruges, har vi mulighed for at dirigere VLAN20-trafik til et helt andet netværk. Denne trafik vil dog være uindkapslet, og selve netværkene skal stadig matche.
Lad os se på dette med et eksempel. Jeg går ind i SW1's indstillinger og bruger kommandoen switchport trunk native vlan 10. Nu vil enhver VLAN10-trafik komme ud af trunkporten umærket. Når den når trunkport SW2, vil switchen forstå, at den skal videresende den til VLAN1. Som et resultat af denne beslutning vil trafik ikke kunne nå computere PC2, 3 og 4, da de er forbundet til switch-adgangsportene beregnet til VLAN10.
Teknisk set vil dette få systemet til at rapportere, at det native VLAN for port Fa0/4, som er en del af VLAN10, ikke matcher porten Fa0/1, som er en del af VLAN1. Dette betyder, at de angivne porte ikke vil være i stand til at fungere i trunk-tilstand på grund af en indbygget VLAN-uoverensstemmelse.
Tak fordi du blev hos os. Kan du lide vores artikler? Vil du se mere interessant indhold? Støt os ved at afgive en ordre eller anbefale til venner, 30% rabat til Habr-brugere på en unik analog af entry-level servere, som er opfundet af os til dig: (tilgængelig med RAID1 og RAID10, op til 24 kerner og op til 40 GB DDR4).
Dell R730xd 2 gange billigere? Kun her i Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Læse om
Kilde: www.habr.com