Heute werfen wir einen Blick auf die dynamischen Trunking-Protokolle DTP und VTP – VLAN-Trunking-Protokoll. Wie ich in der letzten Lektion gesagt habe, werden wir die ICND2-Prüfungsthemen in der Reihenfolge befolgen, in der sie auf der Cisco-Website erscheinen.
Das letzte Mal haben wir uns mit Punkt 1.1 befasst, und heute werden wir uns mit 1.2 befassen – Konfiguration, Überprüfung und Fehlerbehebung von Netzwerk-Switch-Verbindungen: Hinzufügen und Entfernen von VLANs zum Trunk sowie DTP- und VTP-Protokolle Versionen 1 und 2.
Alle Switch-Ports sind standardmäßig für die Verwendung des Dynamic Auto-Modus des DTP-Protokolls konfiguriert. Das bedeutet, dass bei der Verbindung zweier Ports verschiedener Switches automatisch ein Trunk zwischen ihnen eingeschaltet wird, wenn sich einer der Ports im Trunk- oder wünschenswerten Modus befindet. Befinden sich die Ports beider Switches im Dynamic-Auto-Modus, wird kein Trunk gebildet.
Es hängt also alles von der Einstellung der Betriebsarten jedes der beiden Schalter ab. Zum besseren Verständnis habe ich eine Tabelle mit möglichen Kombinationen der DTP-Modi zweier Schalter erstellt. Sie können sehen, dass, wenn beide Switches Dynamic Auto verwenden, sie keinen Trunk bilden, sondern im Zugriffsmodus bleiben. Wenn Sie also möchten, dass ein Trunk zwischen zwei Switches erstellt wird, müssen Sie mindestens einen der Switches auf den Trunk-Modus programmieren oder den Trunk-Port so programmieren, dass er den Dynamic Desirable-Modus verwendet. Wie aus der Tabelle ersichtlich ist, kann sich jeder Switch-Port in einem von vier Modi befinden: Access, Dynamic Auto, Dynamic Desirable oder Trunk.
Wenn beide Ports auf Access eingestellt sind, verwenden die angeschlossenen Switches den Access-Modus. Wenn ein Port auf Dynamic Auto und der andere auf Access eingestellt ist, funktionieren beide im Access-Modus. Wenn ein Port im Access-Modus und der andere im Trunk-Modus arbeitet, können die Switches nicht verbunden werden, sodass diese Kombination von Modi nicht verwendet werden kann.
Damit Trunking funktioniert, muss einer der Switch-Ports für Trunk und der andere für Trunk, Dynamic Auto oder Dynamic Desirable programmiert sein. Ein Trunk wird auch gebildet, wenn beide Ports auf Dynamic Desirable eingestellt sind.
Der Unterschied zwischen Dynamic Desirable und Dynamic Auto besteht darin, dass im ersten Modus der Port selbst den Trunk initiiert, indem er DTP-Frames an den Port des zweiten Switches sendet. Im zweiten Modus wartet der Switch-Port, bis jemand mit ihm spricht, und wenn die Ports beider Switches auf „Dynamic Auto“ eingestellt sind, wird zwischen ihnen nie eine Amtsleitung gebildet. Bei Dynamic Desirable verhält es sich umgekehrt: Wenn beide Ports für diesen Modus konfiguriert sind, wird zwangsläufig ein Trunk zwischen ihnen gebildet.
Ich empfehle Ihnen, sich diese Tabelle zu merken, da sie Ihnen hilft, die miteinander verbundenen Switches richtig zu konfigurieren. Schauen wir uns diesen Aspekt in Packet Tracer an. Ich habe 3 Switches miteinander verkettet und zeige nun die CLI-Konsolenfenster für jedes dieser Geräte an.
Wenn ich den Befehl show int trunk eingebe, sehen wir keinen Trunk, was ohne die erforderlichen Einstellungen ganz natürlich ist, da alle Schalter auf den dynamischen Auto-Modus eingestellt sind. Wenn ich Sie auffordere, die Parameter der f0/1-Schnittstelle des mittleren Schalters anzuzeigen, werden Sie sehen, dass der dynamische Auto-Parameter im Verwaltungseinstellungsmodus aufgeführt ist.
Der dritte und der erste Schalter haben ähnliche Einstellungen – sie verfügen auch über Port f0/1 im dynamischen Auto-Modus. Wenn Sie sich an die Tabelle erinnern, müssen sich beim Trunking alle Ports im Trunk-Modus befinden oder einer der Ports muss sich im Dynamic Desirable-Modus befinden.
Gehen wir zu den Einstellungen des ersten Switch SW0 und konfigurieren Sie Port f0/1. Nach Eingabe des Befehls „switchport mode“ werden Sie vom System nach möglichen Modusoptionen gefragt: Zugriff, dynamisch oder Trunk. Ich verwende den dynamischen wünschenswerten Befehl „switchport mode“, und Sie können sehen, wie der Trunk-Port f0 / 1 des zweiten Switches nach Eingabe dieses Befehls zunächst in den Down-Zustand ging und dann, nachdem er den DTP-Frame des ersten Switches empfangen hatte, ging in den Up-Zustand.
Wenn wir nun in der CLI-Konsole des Switch SW1 den Befehl show int trunk eingeben, sehen wir, dass sich Port f0/1 im Trunking-Zustand befindet. Ich gebe den gleichen Befehl in die SW1-Switch-Konsole ein und sehe die gleichen Informationen, das heißt, jetzt ist ein Trunk zwischen den SW0- und SW1-Switches installiert. In diesem Fall befindet sich der Port des ersten Switches im gewünschten Modus und der Port des zweiten im automatischen Modus.
Es besteht keine Verbindung zwischen dem zweiten und dem dritten Switch, daher gehe ich zu den Einstellungen des dritten Switch und gebe den dynamischen wünschenswerten Befehl „Switchport-Modus“ ein. Sie können sehen, dass die gleichen Down-Up-Zustandsänderungen im zweiten Switch aufgetreten sind, nur betreffen sie jetzt den f0/2-Port, an den der 3. Switch angeschlossen ist. Jetzt hat der zweite Switch zwei Trunks: einen auf der f0/1-Schnittstelle, den zweiten auf f0/2. Dies kann mit dem Befehl show int trunk angezeigt werden.
Beide Ports des zweiten Switches befinden sich im Auto-Zustand, d.h. für Trunking mit benachbarten Switches ist es notwendig, dass sich deren Ports im Trunk- oder Wünsch-Modus befinden, da es in diesem Fall nur 2 Modi zum Einrichten eines Trunks gibt. Mithilfe der Tabelle können Sie die Switch-Ports jederzeit so konfigurieren, dass zwischen ihnen ein Trunk organisiert wird. Dies ist das Wesentliche bei der Verwendung des dynamischen DTP-Trunking-Protokolls.
Beginnen wir mit dem VLAN Trunking Protocol oder VTP. Dieses Protokoll ermöglicht die Synchronisierung der VLAN-Datenbanken verschiedener Netzwerkgeräte und führt die Übertragung der aktualisierten VLAN-Datenbank von einem Gerät zum anderen durch. Kehren wir zu unserem Schema mit 3 Schaltern zurück. VTP kann in drei Modi arbeiten: Server, Client und transparent. VTP v3 verfügt über einen anderen Modus namens „Aus“, aber nur VTP v3 und vXNUMX werden in der Cisco-Prüfung abgedeckt.
Der Servermodus wird verwendet, um über die Switch-Befehlszeile neue VLANs zu erstellen, Netzwerke zu löschen oder zu ändern. Im Client-Modus können keine Vorgänge auf VLANs durchgeführt werden; in diesem Modus wird nur die VLAN-Datenbank vom Server aktualisiert. Der transparente Modus verhält sich so, als ob das VTP-Protokoll deaktiviert wäre, d. h. der Switch gibt keine eigenen VTP-Nachrichten aus, sondern überträgt Updates von anderen Switches – wenn ein Update an einem der Switch-Ports ankommt, leitet er es durch sich selbst und sendet es es weiter durch das Netzwerk über einen anderen Port. Im transparenten Modus dient der Switch lediglich als Übermittler der Nachrichten anderer Personen, ohne seine eigene VLAN-Datenbank zu aktualisieren.
Auf dieser Folie sehen Sie die im globalen Konfigurationsmodus eingegebenen VTP-Protokollkonfigurationsbefehle. Mit dem ersten Befehl können Sie die verwendete Protokollversion ändern. Der zweite Befehl wählt den VTP-Betriebsmodus aus.
Wenn Sie eine VTP-Domäne erstellen möchten, verwenden Sie den Befehl vtp domain <Domänenname>, und um ein VTP-Passwort festzulegen, verwenden Sie den Befehl vtp password <PASSWORD>. Gehen wir zur CLI-Konsole des ersten Switches und sehen uns den VTP-Status an, indem wir den Befehl show vtp status eingeben.
Sie sehen, dass die Version des VTP-Protokolls die zweite ist, die maximale Anzahl unterstützter VLANs 255 beträgt, die Anzahl vorhandener VLANs 5 beträgt und der VLAN-Betriebsmodus Server ist. Dies sind alles Standardeinstellungen. Wir haben VTP bereits in der Lektion Tag 30 besprochen. Wenn Sie also etwas vergessen haben, können Sie zurückgehen und sich dieses Video noch einmal ansehen.
Um die VLAN-Datenbank anzuzeigen, gebe ich den Befehl show vlan brief ein. Hier dargestellt sind VLAN1 und VLAN1002-1005. Standardmäßig sind alle freien Switch-Schnittstellen mit dem ersten Netzwerk verbunden – 23 Fast-Ethernet-Ports und 2 Gigabit-Ethernet-Ports, die restlichen 4 VLANs werden nicht unterstützt. Die VLAN-Datenbanken der anderen beiden Switches sehen exakt gleich aus, nur dass SW1 nicht 23, sondern 22 Fast-Ethernet-Ports für VLANs frei hat, da f0/1 und f0/2 durch Trunks belegt sind. Ich möchte Sie noch einmal an das erinnern, was in der Lektion von Tag 30 gesagt wurde: Das VTP-Protokoll unterstützt nur die Aktualisierung von VLAN-Datenbanken.
Wenn ich mit den Befehlen „Switchport Access“ und „Switchport Mode Access“ VLAN10, VLAN20 oder VLAN30 mehrere Ports für die Arbeit mit VLANs konfiguriere, wird die Konfiguration dieser Ports nicht von VTP repliziert, da VTP nur die VLAN-Datenbank aktualisiert.
Wenn also einer der SW1-Ports für die Arbeit mit VLAN20 konfiguriert ist, dieses Netzwerk jedoch nicht in der VLAN-Datenbank enthalten ist, wird der Port deaktiviert. Die Aktualisierung der Datenbanken erfolgt wiederum nur bei Verwendung des VTP-Protokolls.
Mit dem Befehl show vtp status sehe ich, dass sich alle drei Switches jetzt im Servermodus befinden. Ich werde den mittleren Schalter SW3 mit dem Befehl „vtp mode transparent“ in den transparenten Modus versetzen und den dritten Schalter SW1 mit dem Befehl „vtp mode client“ in den Client-Modus versetzen.
Kehren wir nun zum ersten SW0-Schalter zurück und erstellen die Domäne nwking.org mit dem Befehl vtp domain <Domänenname>. Schaut man sich nun den VTP-Status des zweiten Switches an, der sich im transparenten Modus befindet, erkennt man, dass dieser in keiner Weise auf die Erstellung der Domain reagiert hat – das Feld „VTP Domain Name“ blieb leer. Der dritte Switch, der sich im Client-Modus befindet, hat jedoch seine Datenbank aktualisiert und den Domainnamen VTP-nwking.org erhalten. Somit wurde die Aktualisierung der SW0-Switch-Datenbank über SW1 durchgeführt und in SW2 widergespiegelt.
Jetzt werde ich versuchen, den angegebenen Domänennamen zu ändern. Dazu gehe ich zu den SW0-Einstellungen und gebe den Befehl „vtp domain NetworKing“ ein. Wie Sie sehen, gab es dieses Mal kein Update – der VTP-Domänenname auf dem dritten Switch blieb gleich. Tatsache ist, dass eine solche Aktualisierung des Domänennamens nur einmal erfolgt, wenn sich die Standarddomäne ändert. Wenn sich der VTP-Domänenname danach erneut ändert, muss er auf den verbleibenden Switches manuell geändert werden.
Jetzt werde ich in der CLI-Konsole des ersten Switches ein neues VLAN100-Netzwerk erstellen und es IMRAN nennen. Es erschien in der VLAN-Datenbank des ersten Switches, jedoch nicht in der Datenbank des dritten Switches, da es sich um unterschiedliche Domänen handelt. Denken Sie daran, dass die Aktualisierung der VLAN-Datenbank nur dann erfolgt, wenn beide Switches dieselbe Domäne haben oder, wie ich zuvor gezeigt habe, ein neuer Domänenname anstelle des Standardnamens festgelegt wird.
Ich gehe in die Einstellungen des dritten Schalters und gebe nacheinander die Befehle „vtp mode“ und „vtp domain NetworKing“ ein. Bitte beachten Sie, dass bei der Namenseingabe die Groß-/Kleinschreibung beachtet wird, sodass die Schreibweise des Domainnamens für beide Schalter exakt gleich sein muss. Jetzt versetze ich SW3 mit dem Befehl vtp mode client wieder in den Client-Modus. Mal sehen was passiert. Wie Sie jetzt sehen können, wurde bei Übereinstimmung des Domänennamens die SW2-Datenbank aktualisiert und ein neues VLAN2-IMRAN-Netzwerk darin angezeigt. Diese Änderungen hatten keinerlei Auswirkungen auf den mittleren Switch, da dieser sich im transparenten Modus befindet.
Wenn Sie sich vor unbefugtem Zugriff schützen möchten, können Sie ein VTP-Passwort erstellen. Sie müssen jedoch sicherstellen, dass das Gerät auf der Gegenseite genau das gleiche Passwort hat, da es nur in diesem Fall VTP-Updates empfangen kann.
Als nächstes werden wir uns mit der VTP-Beschneidung oder der Beschneidung ungenutzter VLANs befassen. Wenn Sie 100 VTP-Geräte in Ihrem Netzwerk haben, wird die VLAN-Datenbankaktualisierung eines Geräts automatisch auf die anderen 99 Geräte repliziert. Allerdings verfügen nicht alle dieser Geräte über die im Update erwähnten VLANs, sodass Informationen darüber möglicherweise nicht erforderlich sind.
Das Senden von VLAN-Datenbankaktualisierungen an Geräte über VTP bedeutet, dass alle Ports aller Geräte Informationen über hinzugefügte, gelöschte und geänderte VLANs erhalten, mit denen sie möglicherweise nichts zu tun haben. In diesem Fall ist das Netzwerk durch übermäßigen Datenverkehr verstopft. Um dies zu verhindern, wird das Konzept des „Trimmens“ von VTP verwendet. Um den „Pruning“-Modus irrelevanter VLANs auf dem Switch zu aktivieren, verwenden Sie den Befehl vtp pruning. Danach teilen sich die Switches automatisch gegenseitig mit, welche VLANs sie tatsächlich verwenden, und warnen so die Nachbarn, dass sie keine Updates an Netzwerke senden müssen, die nicht mit ihnen verbunden sind.
Wenn SW2 beispielsweise über keine VLAN10-Ports verfügt, ist SW1 nicht erforderlich, um ihm Datenverkehr für dieses Netzwerk zu senden. Gleichzeitig benötigt Switch SW1 VLAN10-Verkehr, da einer seiner Ports mit diesem Netzwerk verbunden ist, er muss diesen Verkehr jedoch nicht an Switch SW2 senden.
Wenn SW2 den VTP-Pruning-Modus verwendet, teilt es SW1 daher mit: „Bitte senden Sie mir keinen Datenverkehr für VLAN10, da dieses Netzwerk nicht mit mir verbunden ist und keiner meiner Ports für die Zusammenarbeit mit diesem Netzwerk konfiguriert ist.“ Dies ist, was der vtp-Pruning-Befehl liefert.
Es gibt eine andere Möglichkeit, den Datenverkehr für eine bestimmte Schnittstelle zu filtern. Damit können Sie einen Port an einem Trunk mit einem bestimmten VLAN konfigurieren. Der Nachteil dieser Methode besteht darin, dass jeder Trunk-Port manuell konfiguriert werden muss, wodurch festgelegt werden muss, welche VLANs zulässig und welche verboten sind. Hierzu wird eine Folge von 3 Befehlen verwendet. Der erste gibt die von diesen Einschränkungen betroffene Schnittstelle an, der zweite verwandelt diese Schnittstelle in einen Trunk-Port und der dritte – Switchport Trunk Allowed VLAN <all/none/add/remove/VLAN number> – zeigt an, welches VLAN zulässig ist dieser Port: alle, keiner, das hinzuzufügende VLAN oder das zu entfernende VLAN.
Abhängig von der spezifischen Situation wählen Sie, was Sie verwenden möchten: VTP-Beschneidung oder Trunk erlaubt. Einige Organisationen entscheiden sich aus Sicherheitsgründen gegen die Verwendung von VTP und entscheiden sich daher dafür, Trunking manuell zu konfigurieren. Da der vtp-Pruning-Befehl in Packet Tracer nicht funktioniert, zeige ich ihn im GNS3-Emulator.
Geht man in die SW2-Einstellungen und gibt den vtp-Pruning-Befehl ein, meldet das System sofort, dass dieser Modus aktiviert ist: Pruning eingeschaltet, also das VLAN-„Schneiden“ wird mit nur einem Befehl eingeschaltet.
Wenn wir den Befehl show vtp status eingeben, sehen wir, dass der VTP-Bereinigungsmodus aktiviert ist.
Wenn Sie diesen Modus auf einem Switch-Server konfigurieren, gehen Sie zu dessen Einstellungen und geben Sie den Befehl vtp pruning ein. Dies bedeutet, dass mit dem Server verbundene Geräte automatisch VTP-Pruning verwenden, um den Trunking-Verkehr für irrelevante VLANs zu minimieren.
Wenn Sie diesen Modus nicht verwenden möchten, müssen Sie sich bei einer bestimmten Schnittstelle anmelden, z. B. e0/0, und dann den Befehl „Switchport Trunk Allowed VLAN“ ausgeben. Das System fragt Sie nach möglichen Optionen für diesen Befehl:
– WORD – VLAN-Nummer, die auf dieser Schnittstelle im Trunk-Modus zulässig ist;
- add – VLAN, das zur VLAN-Datenbankliste hinzugefügt werden soll;
– alle – alle VLANs zulassen;
– außer – alle VLANs außer den angegebenen zulassen;
– keine – alle VLANs deaktivieren;
– Entfernen – Entfernen Sie ein VLAN aus der VLAN-Datenbankliste.
Wenn wir beispielsweise einen Trunk für VLAN10 zugelassen haben und ihn für VLAN20 zulassen möchten, müssen wir den Befehl „Switchport Trunk Allowed VLAN Add 20“ eingeben.
Ich möchte Ihnen etwas anderes zeigen, also verwende ich den Befehl show interface trunk. Bitte beachten Sie, dass standardmäßig alle VLANs 1-1005 für den Trunk zugelassen waren und nun auch VLAN10 hinzugefügt wurde.
Wenn ich den Befehl „Switchport Trunk Allowed VLAN Add 20“ verwende und erneut frage, um den Trunking-Status anzuzeigen, sehen wir, dass jetzt zwei Netzwerke für den Trunk zulässig sind – VLAN10 und VLAN20.
Gleichzeitig kann kein anderer Verkehr, außer dem, der für die angegebenen Netzwerke bestimmt ist, diesen Trunk passieren. Indem wir den Datenverkehr nur für VLAN 10 und VLAN 20 zugelassen haben, haben wir den Datenverkehr für alle anderen VLANs verweigert. Hier erfahren Sie, wie Sie Trunking-Einstellungen für ein bestimmtes VLAN auf einer bestimmten Switch-Schnittstelle manuell konfigurieren.
Bitte beachten Sie, dass wir bis zum Ende des Tages am 17. November 2017 90 % Rabatt auf die Kosten für den Download einer Laborarbeit zu diesem Thema auf unserer Website gewähren.
Vielen Dank für Ihre Aufmerksamkeit und bis zum nächsten Video-Tutorial!
Vielen Dank, dass Sie bei uns geblieben sind. Gefallen Ihnen unsere Artikel? Möchten Sie weitere interessante Inhalte sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder an Freunde weiterempfehlen. 30 % Rabatt für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das von uns für Sie erfunden wurde: (verfügbar mit RAID1 und RAID10, bis zu 24 Kerne und bis zu 40 GB DDR4).
Dell R730xd 2-mal günstiger? Nur hier in den Niederlanden! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbit/s 100 TB – ab 99 $! Lesen über
Source: habr.com