I dag vil vi se på den dynamiske trunking-protokol DTP og VTP - VLAN trunking-protokol. Som jeg sagde i sidste lektion, vil vi følge ICND2 eksamensemnerne i den rækkefølge, de vises på Ciscos hjemmeside.
Sidste gang overvejede vi punkt 1.1, og i dag vil vi overveje 1.2 - konfiguration, kontrol og fejlfinding af netværksswitchforbindelser: tilføjelse og fjernelse af VLAN'er fra trunk og DTP- og VTP-protokoller version 1 og 2.
Alle switch-porte ud af æsken er som standard konfigureret til at bruge Dynamic Auto-tilstanden i DTP-protokollen. Det betyder, at når to porte på forskellige switches er forbundet, tændes en trunk automatisk mellem dem, hvis en af portene er i trunk eller ønskelig tilstand. Hvis portene på begge switches er i Dynamic Auto-tilstand, dannes der ingen trunk.
Det hele afhænger således af indstillingen af driftstilstandene for hver af de 2 kontakter. For at lette forståelsen lavede jeg en tabel over mulige kombinationer af DTP-tilstande af to switches. Du kan se, at hvis begge switches bruger Dynamic Auto, så vil de ikke danne en trunk, men forblive i Access-tilstand. Derfor, hvis du ønsker, at der skal oprettes en trunk mellem to switches, så skal du programmere mindst én af switchene til Trunk mode, eller programmere trunk porten til at bruge Dynamic Desirable mode. Som det kan ses af tabellen, kan hver af switch-portene være i en af 4 tilstande: Access, Dynamic Auto, Dynamic Desirable eller Trunk.
Hvis begge porte er indstillet til Access, vil de tilsluttede switche bruge Access-tilstand. Hvis den ene port er indstillet til Dynamic Auto og den anden til Access, fungerer begge i Access-tilstand. Hvis den ene port fungerer i Access-tilstand og den anden i Trunk-tilstand, kan switchene ikke tilsluttes, så denne kombination af tilstande kan ikke bruges.
Så for at trunking kan fungere, er det nødvendigt, at en af switch-portene er programmeret til Trunk, og den anden til Trunk, Dynamic Auto eller Dynamic Desirable. En trunk dannes også, hvis begge porte er indstillet til Dynamic Desirable.
Forskellen mellem Dynamic Desirable og Dynamic Auto er, at i den første tilstand starter porten selv stammen ved at sende DTP-rammer til porten på den anden switch. I den anden tilstand venter switchporten, indtil nogen begynder at tale til den, og hvis portene på begge switches er indstillet til Dynamic Auto, vil der aldrig dannes en trunk mellem dem. I tilfælde af Dynamic Desirable er der en modsat situation - hvis begge porte er konfigureret til denne tilstand, dannes der nødvendigvis en trunk mellem dem.
Jeg råder dig til at huske denne tabel, da den hjælper dig med at konfigurere de kontakter, der er forbundet til hinanden korrekt. Lad os se på dette aspekt i Packet Tracer. Jeg har kædet 3 kontakter sammen og vil nu vise CLI-konsolvinduerne for hver af disse enheder.
Hvis jeg indtaster kommandoen show int trunk, vil vi ikke se nogen trunk, hvilket er ret naturligt i mangel af de nødvendige indstillinger, da alle switches er sat til Dynamic Auto mode. Hvis jeg beder dig om at vise parametrene for f0 / 1-grænsefladen på den midterste kontakt, vil du se, at den dynamiske auto-parameter er angivet i den administrative indstillingstilstand.
Den tredje og første switch har lignende indstillinger - de har også port f0 / 1 i dynamisk autotilstand. Hvis du husker tabellen, for trunking skal alle porte være i trunk mode, eller en af portene skal være i Dynamic Desirable mode.
Lad os gå til indstillingerne for den første switch SW0 og konfigurere port f0 / 1. Efter at have indtastet kommandoen switchport mode, vil systemet bede dig om mulige tilstandsindstillinger: adgang, dynamisk eller trunk. Jeg bruger den dynamiske ønskelige kommando i switchport-tilstand, og du kan bemærke, hvordan trunkporten f0 / 1 på den anden switch, efter at have indtastet denne kommando, først gik i ned-tilstand og derefter, efter at have modtaget DTP-rammen for den første switch, gik i op-tilstand.
Hvis vi nu indtaster kommandoen show int trunk i CLI-konsollen på switch SW1, vil vi se, at port f0/1 er i trunkingtilstand. Jeg indtaster den samme kommando i SW1 switch-konsollen og ser den samme information, det vil sige, at der nu er installeret en trunk mellem SW0 og SW1 switchene. I dette tilfælde er porten på den første switch i ønsket tilstand, og porten på den anden er i autotilstand.
Der er ingen forbindelse mellem den anden og tredje switch, så jeg går til indstillingerne for den tredje switch og indtaster den dynamiske ønskelige kommando i switchport-tilstand. Du kan se, at de samme ned-op-tilstandsændringer skete i den anden switch, først nu vedrører de f0 / 2-porten, som den 3. switch er forbundet til. Nu har den anden switch to trunks: en på f0/1-grænsefladen, den anden på f0/2. Dette kan ses ved hjælp af kommandoen show int trunk.
Begge porte på den anden switch er i autotilstand, det vil sige for trunking med naboswitche, er det nødvendigt, at deres porte er i trunk eller ønskelig tilstand, for i dette tilfælde er der kun 2 tilstande til at oprette en trunk. Ved hjælp af tabellen kan du altid konfigurere switch-portene på en sådan måde, at de organiserer en trunk mellem dem. Dette er essensen af at bruge DTP dynamisk trunking protokol.
Lad os komme i gang med VLAN Trunking Protocol eller VTP. Denne protokol giver synkronisering af VLAN-databaser for forskellige netværksenheder, og udfører overførslen af den opdaterede VLAN-database fra en enhed til en anden. Lad os vende tilbage til vores skema med 3 kontakter. VTP kan fungere i 3 tilstande: server, klient og transparent. VTP v3 har en anden tilstand kaldet Off, men kun VTP vXNUMX og vXNUMX er dækket af Cisco-eksamenen.
Servertilstand bruges til at oprette nye VLAN'er, slette eller ændre netværk via switch-kommandolinjen. I klienttilstand kan der ikke udføres operationer på VLAN'er; i denne tilstand er det kun VLAN-databasen, der opdateres fra serveren. Den gennemsigtige tilstand fungerer som om VTP-protokollen er deaktiveret, det vil sige, at switchen ikke udsender sine egne VTP-meddelelser, men transmitterer opdateringer fra andre switches - hvis der kommer en opdatering til en af switchportene, sender den den gennem sig selv og sender det videre gennem netværket gennem en anden port. I transparent tilstand fungerer switchen blot som en sender af andres beskeder uden at opdatere sin egen VLAN-database.
På dette dias kan du se VTP-protokolkonfigurationskommandoer indtastet i global konfigurationstilstand. Med den første kommando kan du ændre den anvendte protokolversion. Den anden kommando vælger VTP-driftstilstanden.
Hvis du vil oprette et VTP-domæne, skal du bruge kommandoen vtp-domæne <domænenavn>, og for at indstille en VTP-adgangskode skal du bruge kommandoen vtp-adgangskode <PASSWORD>. Lad os gå til CLI-konsollen på den første switch og se på VTP-statussen ved at indtaste kommandoen show vtp status.
Du kan se, at versionen af VTP-protokollen er den anden, det maksimale antal understøttede VLAN'er er 255, antallet af eksisterende VLAN'er er 5, og VLAN-driftstilstanden er server. Disse er alle standardindstillinger. Vi diskuterede allerede VTP i dag 30 lektionen, så hvis du har glemt noget, kan du gå tilbage og se denne video igen.
For at se VLAN-databasen indtaster jeg kommandoen show vlan short. Her er vist VLAN1 og VLAN1002-1005. Som standard er alle gratis switch-interfaces forbundet til det første netværk - 23 Fast Ethernet-porte og 2 Gigabit Ethernet-porte, de resterende 4 VLAN'er understøttes ikke. VLAN-databaserne for de to andre switches ser nøjagtigt ud, bortset fra at SW1 ikke har 23, men 22 Fast Ethernet-porte ledige til VLAN'er, da f0/1 og f0/2 er optaget af trunks. Lad mig endnu en gang minde dig om, hvad der blev sagt i dag 30 lektionen - VTP-protokollen understøtter kun opdatering af VLAN-databaser.
Hvis jeg konfigurerer flere porte til at arbejde med VLAN'er med VLAN10-, VLAN20- eller VLAN30-kommandoer for switchport-adgang og switchport-tilstand, vil konfigurationen af disse porte ikke blive replikeret af VTP, fordi VTP kun opdaterer VLAN-databasen.
Så hvis en af SW1-portene er konfigureret til at arbejde med VLAN20, men dette netværk ikke er i VLAN-databasen, vil porten blive deaktiveret. Til gengæld sker opdatering af databaser kun ved brug af VTP-protokollen.
Med kommandoen show vtp status ser jeg, at alle 3 switches nu er i servertilstand. Jeg vil sætte den midterste switch SW1 i transparent tilstand med vtp mode transparent kommando, og den tredje switch SW2 i client mode med vtp mode client kommando.
Lad os nu gå tilbage til den første SW0-switch og oprette nwking.org-domænet ved hjælp af kommandoen vtp-domæne <domænenavn>. Hvis du nu ser på VTP-tilstanden for den anden switch, som er i transparent tilstand, kan du se, at den ikke reagerede på oprettelsen af domænet på nogen måde - feltet VTP Domain Name forblev tomt. Den tredje switch, som er i klienttilstand, opdaterede dog sin database og fik domænenavnet VTP-nwking.org. Således gik opdateringen af SW0-switchdatabasen gennem SW1 og blev afspejlet i SW2.
Nu vil jeg prøve at ændre det givne domænenavn, for hvilket jeg vil gå til SW0-indstillingerne og skrive kommandoen vtp domæne NetworKing. Som du kan se, var der denne gang ingen opdatering - VTP-domænenavnet på den tredje switch forblev det samme. Faktum er, at en sådan opdatering af domænenavn kun sker 1 gang, når standarddomænet ændres. Hvis VTP-domænenavnet derefter ændres igen, skal det ændres manuelt på de resterende switches.
Nu vil jeg oprette et nyt VLAN100-netværk i CLI-konsollen på den første switch og navngive den IMRAN. Det dukkede op i VLAN-databasen for den første switch, men dukkede ikke op i den tredje switch-database, fordi disse er forskellige domæner. Husk, at opdatering af VLAN-databasen kun sker, hvis begge switches har samme domæne, eller, som jeg viste tidligere, et nyt domænenavn er sat i stedet for standardnavnet.
Jeg går ind i indstillingerne for den 3. switch og går sekventielt ind i vtp-tilstanden og vtp-domænet NetworKing-kommandoer. Bemærk venligst, at der skelnes mellem store og små bogstaver i navneindtastningen, så stavningen af domænenavnet skal være nøjagtig den samme for begge switches. Nu sætter jeg SW2 i klienttilstand igen med klientkommandoen vtp mode. Lad os se, hvad der sker. Som du kan se, nu, når domænenavnet matcher, er SW2-databasen blevet opdateret og et nyt VLAN100 IMRAN-netværk er dukket op i den, og disse ændringer påvirkede ikke den midterste switch på nogen måde, fordi den er i transparent tilstand.
Hvis du vil beskytte dig mod uautoriseret adgang, kan du oprette en VTP-adgangskode. Du skal dog være sikker på, at enheden på den anden side vil have nøjagtig samme adgangskode, for kun i dette tilfælde vil den kunne modtage VTP-opdateringer.
Den næste ting vi skal se på er VTP-beskæring eller beskæring af ubrugte VLAN'er. Hvis du har 100 VTP-enheder på dit netværk, vil VLAN-databaseopdateringen for én enhed automatisk blive replikeret til de andre 99 enheder. Det er dog ikke alle disse enheder, der har de VLAN'er, der er nævnt i opdateringen, så oplysninger om dem er muligvis ikke nødvendige.
At sende VLAN-databaseopdateringer til enheder, der bruger VTP, betyder, at alle porte på alle enheder vil modtage information om tilføjede, slettede og ændrede VLAN'er, som de muligvis ikke har noget at gøre med. I dette tilfælde er netværket tilstoppet med overskydende trafik. For at forhindre dette i at ske, bruges konceptet med at "trimme" VTP. For at aktivere "beskærings"-tilstanden for irrelevante VLAN'er på switchen, skal du bruge kommandoen vtp pruning. Herefter vil switchene automatisk fortælle hinanden, hvilke VLAN de rent faktisk bruger, og derved advare naboer om, at de ikke behøver at sende opdateringer til netværk, der ikke er tilsluttet dem.
For eksempel, hvis SW2 ikke har nogen VLAN10-porte, behøver den ikke SW1 for at sende den trafik til dette netværk. Samtidig har switch SW1 brug for VLAN10 trafik, fordi en af dens porte er forbundet til dette netværk, behøver den bare ikke at sende denne trafik for at switche SW2.
Derfor, hvis SW2 bruger vtp-beskæringstilstand, fortæller den SW1: "Send venligst ikke trafik til VLAN10, fordi dette netværk ikke er forbundet til mig, og ingen af mine porte er konfigureret til at arbejde med dette netværk." Dette er, hvad vtp beskæringskommandoen giver.
Der er en anden måde at filtrere trafik efter en specifik grænseflade. Det giver dig mulighed for at konfigurere en port på en trunk med et specifikt VLAN. Ulempen ved denne metode er behovet for manuelt at konfigurere hver trunkport, som skal specificere, hvilke VLAN'er der er tilladt, og hvilke der er forbudte. Til dette bruges en sekvens af 3 kommandoer. Den første specificerer grænsefladen, der er påvirket af disse begrænsninger, den anden gør denne grænseflade til en trunkport, og den tredje - switchport trunk tilladt vlan <all/none/add/remove/VLAN number> - viser hvilket VLAN der er tilladt på denne port: alle, ingen, VLAN, der skal tilføjes, eller VLAN, der skal fjernes.
Afhængigt af den specifikke situation vælger du, hvad du vil bruge: VTP-beskæring eller Trunk tilladt. Nogle organisationer vælger ikke at bruge VTP af sikkerhedsmæssige årsager, så de vælger at konfigurere trunking manuelt. Da vtp-beskæringskommandoen ikke virker i Packet Tracer, vil jeg vise den i GNS3-emulatoren.
Hvis du går ind i SW2-indstillingerne og indtaster vtp-beskæringskommandoen, vil systemet straks rapportere, at denne tilstand er aktiveret: Beskæring slået til, det vil sige, VLAN "skæring" er slået til med kun én kommando.
Hvis vi skriver kommandoen show vtp status, vil vi se, at vtp-beskæringstilstanden er aktiveret.
Hvis du konfigurerer denne tilstand på en switch-server, skal du gå til dens indstillinger og indtaste kommandoen vtp pruning. Dette betyder, at enheder, der er tilsluttet serveren, automatisk vil bruge vtp-beskæring for at minimere trunking-trafik for irrelevante VLAN'er.
Hvis du ikke ønsker at bruge denne tilstand, skal du logge på en specifik grænseflade, såsom e0/0, og derefter udstede kommandoen switchport trunk allowed vlan. Systemet vil bede dig om mulige muligheder for denne kommando:
— WORD — VLAN-nummer, der vil være tilladt på denne grænseflade i trunk-tilstand;
- tilføje - VLAN skal tilføjes til VLAN-databaselisten;
— alle — tillad alle VLAN'er;
- undtagen - tillad alle VLAN'er undtagen de specificerede;
— ingen — deaktiver alle VLAN'er;
— fjern — fjern et VLAN fra VLAN-databaselisten.
For eksempel, hvis vi har en trunk tilladt for VLAN10, og vi vil tillade den for VLAN20, så skal vi indtaste switchport trunk tilladt vlan add 20 kommando.
Jeg vil gerne vise dig noget andet, så jeg bruger kommandoen show interface trunk. Bemærk venligst, at alle VLAN'er 1-1005 som standard var tilladt for trunk, og nu er VLAN10 også blevet tilføjet til dem.
Hvis jeg bruger kommandoen switchport trunk allowed vlan add 20 og beder igen om at vise trunking-status, vil vi se, at to netværk nu er tilladt for trunk - VLAN10 og VLAN20.
Samtidig vil ingen anden trafik, bortset fra dem, der er beregnet til de specificerede netværk, kunne passere gennem denne trunk. Ved kun at tillade trafik for VLAN 10 og VLAN 20, nægtede vi trafik for alle andre VLAN'er. Her er, hvordan du manuelt konfigurerer trunking-indstillinger for et specifikt VLAN på et specifikt switch-interface.
Bemærk venligst, at vi indtil udgangen af dagen den 17. november 2017 har 90 % rabat på omkostningerne ved at downloade et laboratoriearbejde om dette emne på vores hjemmeside.
Tak for din opmærksomhed, og vi ses til den næste video tutorial!
Tak fordi du blev hos os. Kan du lide vores artikler? Vil du se mere interessant indhold? Støt os ved at afgive en ordre eller anbefale til venner, 30% rabat til Habr-brugere på en unik analog af entry-level servere, som er opfundet af os til dig: (tilgængelig med RAID1 og RAID10, op til 24 kerner og op til 40 GB DDR4).
Dell R730xd 2 gange billigere? Kun her i Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Læse om
Kilde: www.habr.com