Σήμερα θα συνεχίσουμε τη συζήτησή μας για τα VLAN και θα συζητήσουμε το πρωτόκολλο VTP, καθώς και τις έννοιες του VTP Pruning και του Native VLAN. Έχουμε ήδη μιλήσει για το VTP σε ένα από τα προηγούμενα βίντεο και το πρώτο πράγμα που πρέπει να έρχεται στο μυαλό σας όταν ακούτε για το VTP είναι ότι δεν είναι πρωτόκολλο αποσύνδεσης, παρόλο που ονομάζεται "πρωτόκολλο διασύνδεσης VLAN".
Όπως γνωρίζετε, υπάρχουν δύο δημοφιλή πρωτόκολλα δρομολόγησης - το ιδιόκτητο πρωτόκολλο Cisco ISL, το οποίο δεν χρησιμοποιείται σήμερα, και το πρωτόκολλο 802.q, το οποίο χρησιμοποιείται σε συσκευές δικτύου από διάφορους κατασκευαστές για την ενθυλάκωση της κυκλοφορίας διακλαδώσεων. Αυτό το πρωτόκολλο χρησιμοποιείται επίσης σε μεταγωγείς Cisco. Έχουμε ήδη πει ότι το VTP είναι ένα πρωτόκολλο συγχρονισμού VLAN, δηλαδή έχει σχεδιαστεί για να συγχρονίζει τη βάση δεδομένων VLAN σε όλους τους μεταγωγείς δικτύου.
Αναφέραμε διαφορετικές λειτουργίες VTP - διακομιστής, πελάτης, διαφανές. Εάν η συσκευή χρησιμοποιεί λειτουργία διακομιστή, αυτό σας επιτρέπει να κάνετε αλλαγές, να προσθέσετε ή να αφαιρέσετε VLAN. Η λειτουργία πελάτη δεν σας επιτρέπει να κάνετε αλλαγές στις ρυθμίσεις διακόπτη, μπορείτε να διαμορφώσετε τη βάση δεδομένων VLAN μόνο μέσω του διακομιστή VTP και θα αναπαραχθεί σε όλους τους πελάτες VTP. Ένας διακόπτης σε διαφανή λειτουργία δεν κάνει αλλαγές στη δική του βάση δεδομένων VLAN, αλλά απλώς περνά μέσα από τον εαυτό του και μεταφέρει τις αλλαγές στην επόμενη συσκευή σε λειτουργία πελάτη. Αυτή η λειτουργία είναι παρόμοια με την απενεργοποίηση του VTP σε μια συγκεκριμένη συσκευή, μετατρέποντάς το σε μεταφορέα πληροφοριών αλλαγής VLAN.
Ας επιστρέψουμε στο πρόγραμμα Packet Tracer και στην τοπολογία δικτύου που συζητήθηκε στο προηγούμενο μάθημα. Διαμορφώσαμε ένα δίκτυο VLAN10 για το τμήμα πωλήσεων και ένα δίκτυο VLAN20 για το τμήμα μάρκετινγκ, συνδυάζοντάς τα με τρεις διακόπτες.
Η επικοινωνία μεταξύ των μεταγωγέων SW0 και SW1 πραγματοποιείται μέσω του δικτύου VLAN20 και μεταξύ SW0 και SW2 υπάρχει επικοινωνία μέσω του δικτύου VLAN10 λόγω του γεγονότος ότι προσθέσαμε το VLAN10 στη βάση δεδομένων VLAN του μεταγωγέα SW1.
Για να εξετάσουμε τη λειτουργία του πρωτοκόλλου VTP, ας χρησιμοποιήσουμε έναν από τους διακόπτες ως διακομιστή VTP, ας είναι SW0. Αν θυμάστε, από προεπιλογή όλοι οι διακόπτες λειτουργούν σε λειτουργία διακομιστή VTP. Ας πάμε στο τερματικό της γραμμής εντολών του διακόπτη και πληκτρολογούμε την εντολή show vtp status. Βλέπετε ότι η τρέχουσα έκδοση του πρωτοκόλλου VTP είναι 2 και ο αριθμός αναθεώρησης διαμόρφωσης είναι 4. Αν θυμάστε, κάθε φορά που γίνονται αλλαγές στη βάση δεδομένων VTP, ο αριθμός αναθεώρησης αυξάνεται κατά μία.
Ο μέγιστος αριθμός υποστηριζόμενων VLAN είναι 255. Αυτός ο αριθμός εξαρτάται από τη μάρκα του συγκεκριμένου μεταγωγέα Cisco, καθώς διαφορετικοί μεταγωγείς μπορούν να υποστηρίξουν διαφορετικούς αριθμούς τοπικών εικονικών δικτύων. Ο αριθμός των υπαρχόντων VLAN είναι 7, σε ένα λεπτό θα δούμε τι είναι αυτά τα δίκτυα. Η λειτουργία ελέγχου VTP είναι διακομιστής, το όνομα τομέα δεν έχει οριστεί, η λειτουργία κλαδέματος VTP είναι απενεργοποιημένη, θα επανέλθουμε σε αυτό αργότερα. Οι λειτουργίες VTP V2 και VTP Traps Generation είναι επίσης απενεργοποιημένες. Δεν χρειάζεται να γνωρίζετε για τις δύο τελευταίες λειτουργίες για να περάσετε την εξέταση 200-125 CCNA, επομένως μην ανησυχείτε για αυτές.
Ας ρίξουμε μια ματιά στη βάση δεδομένων VLAN χρησιμοποιώντας την εντολή show vlan. Όπως είδαμε ήδη στο προηγούμενο βίντεο, έχουμε 4 μη υποστηριζόμενα δίκτυα: 1002, 1003, 1004 και 1005.
Επίσης, παραθέτει τα 2 δίκτυα που δημιουργήσαμε, το VLAN10 και το 20, και το προεπιλεγμένο δίκτυο, το VLAN1. Τώρα ας προχωρήσουμε σε άλλο διακόπτη και ας πληκτρολογήσουμε την ίδια εντολή για να προβάλουμε την κατάσταση VTP. Βλέπετε ότι ο αριθμός αναθεώρησης αυτού του διακόπτη είναι 3, είναι σε λειτουργία διακομιστή VTP και όλες οι άλλες πληροφορίες είναι παρόμοιες με τον πρώτο διακόπτη. Όταν εισάγω την εντολή show VLAN, βλέπω ότι έχουμε κάνει 2 αλλαγές στις ρυθμίσεις, μία λιγότερες από τον διακόπτη SW0, γι' αυτό ο αριθμός αναθεώρησης του SW1 είναι 3. Έχουμε κάνει 3 αλλαγές στις προεπιλεγμένες ρυθμίσεις του πρώτου διακόπτη, επομένως ο αριθμός αναθεώρησής του αυξήθηκε σε 4.
Τώρα ας δούμε την κατάσταση του SW2. Ο αριθμός αναθεώρησης εδώ είναι 1, κάτι που είναι περίεργο. Πρέπει να κάνουμε μια δεύτερη αναθεώρηση γιατί έγινε 1 αλλαγή ρυθμίσεων. Ας δούμε τη βάση δεδομένων VLAN.
Κάναμε μία αλλαγή, δημιουργώντας το VLAN10, και δεν ξέρω γιατί αυτές οι πληροφορίες δεν ενημερώθηκαν. Ίσως αυτό συνέβη επειδή δεν έχουμε πραγματικό δίκτυο, αλλά προσομοιωτή δικτύου λογισμικού, που μπορεί να έχει σφάλματα. Όταν έχετε την ευκαιρία να εργαστείτε με πραγματικές συσκευές κατά την πρακτική άσκηση στη Cisco, θα σας βοηθήσει περισσότερο από τον προσομοιωτή Packet Tracer. Ένα άλλο χρήσιμο πράγμα ελλείψει πραγματικών συσκευών θα ήταν το GNC3, ή ένας γραφικός προσομοιωτής δικτύου Cisco. Αυτός είναι ένας εξομοιωτής που χρησιμοποιεί το πραγματικό λειτουργικό σύστημα μιας συσκευής, όπως ένας δρομολογητής. Υπάρχει μια διαφορά μεταξύ ενός προσομοιωτή και ενός εξομοιωτή - το πρώτο είναι ένα πρόγραμμα που μοιάζει με πραγματικό δρομολογητή, αλλά δεν είναι ένα. Το λογισμικό εξομοιωτή δημιουργεί μόνο την ίδια τη συσκευή, αλλά χρησιμοποιεί πραγματικό λογισμικό για τη λειτουργία της. Αλλά αν δεν έχετε τη δυνατότητα να εκτελέσετε το πραγματικό λογισμικό Cisco IOS, το Packet Tracer είναι η καλύτερη επιλογή σας.
Επομένως, πρέπει να διαμορφώσουμε το SW0 ως διακομιστή VTP, για αυτό πηγαίνω στη λειτουργία διαμόρφωσης καθολικών ρυθμίσεων και εισάγω την εντολή vtp έκδοση 2. Όπως είπα, μπορούμε να εγκαταστήσουμε την έκδοση πρωτοκόλλου που χρειαζόμαστε - 1 ή 2, σε αυτό περίπτωση που χρειαζόμαστε μια δεύτερη έκδοση. Στη συνέχεια, χρησιμοποιώντας την εντολή vtp mode, ορίζουμε τη λειτουργία VTP του διακόπτη - διακομιστής, πελάτης ή διαφανής. Σε αυτήν την περίπτωση, χρειαζόμαστε λειτουργία διακομιστή και αφού εισαγάγετε την εντολή διακομιστή λειτουργίας vtp, το σύστημα εμφανίζει ένα μήνυμα ότι η συσκευή βρίσκεται ήδη σε λειτουργία διακομιστή. Στη συνέχεια, πρέπει να διαμορφώσουμε έναν τομέα VTP, για τον οποίο χρησιμοποιούμε την εντολή vtp domain nwking.org. Γιατί είναι απαραίτητο αυτό; Εάν υπάρχει άλλη συσκευή στο δίκτυο με μεγαλύτερο αριθμό αναθεώρησης, όλες οι άλλες συσκευές με χαμηλότερο αριθμό αναθεώρησης αρχίζουν να αναπαράγουν τη βάση δεδομένων VLAN από αυτήν τη συσκευή. Ωστόσο, αυτό συμβαίνει μόνο εάν οι συσκευές έχουν το ίδιο όνομα τομέα. Για παράδειγμα, εάν εργάζεστε στο nwking.org, υποδεικνύετε αυτόν τον τομέα, εάν στη Cisco, τότε τον τομέα cisco.com, και ούτω καθεξής. Το όνομα τομέα των συσκευών της εταιρείας σας σάς επιτρέπει να τις ξεχωρίζετε από συσκευές άλλης εταιρείας ή από οποιαδήποτε άλλη εξωτερική συσκευή στο δίκτυο. Όταν εκχωρείτε το όνομα τομέα μιας εταιρείας σε μια συσκευή, την κάνετε μέρος του δικτύου αυτής της εταιρείας.
Το επόμενο πράγμα που πρέπει να κάνετε είναι να ορίσετε τον κωδικό πρόσβασης VTP. Απαιτείται έτσι ώστε ένας χάκερ, που έχει μια συσκευή με υψηλό αριθμό αναθεώρησης, να μην μπορεί να αντιγράψει τις ρυθμίσεις του VTP στον διακόπτη σας. Εισάγω τον κωδικό πρόσβασης cisco χρησιμοποιώντας την εντολή vtp password cisco. Μετά από αυτό, η αναπαραγωγή των δεδομένων VTP μεταξύ των διακοπτών θα είναι δυνατή μόνο εάν οι κωδικοί πρόσβασης ταιριάζουν. Εάν χρησιμοποιηθεί λάθος κωδικός πρόσβασης, η βάση δεδομένων VLAN δεν θα ενημερωθεί.
Ας προσπαθήσουμε να δημιουργήσουμε μερικά περισσότερα VLAN. Για να το κάνω αυτό, χρησιμοποιώ την εντολή config t, χρησιμοποιώ την εντολή vlan 200 για να δημιουργήσω έναν αριθμό δικτύου 200, δίνω το όνομα TEST και αποθηκεύω τις αλλαγές με την εντολή exit. Στη συνέχεια δημιουργώ ένα άλλο vlan 500 και το ονομάζω TEST1. Αν τώρα εισάγετε την εντολή show vlan, τότε στον πίνακα εικονικών δικτύων του μεταγωγέα μπορείτε να δείτε αυτά τα δύο νέα δίκτυα, στα οποία δεν έχει εκχωρηθεί ούτε μία θύρα.
Ας προχωρήσουμε στο SW1 και ας δούμε την κατάστασή του VTP. Βλέπουμε ότι τίποτα δεν έχει αλλάξει εδώ εκτός από το όνομα τομέα, ο αριθμός των VLAN παραμένει ίσος με 7. Δεν βλέπουμε τα δίκτυα που δημιουργήσαμε να εμφανίζονται επειδή ο κωδικός πρόσβασης VTP δεν ταιριάζει. Ας ορίσουμε τον κωδικό πρόσβασης VTP σε αυτόν τον διακόπτη εισάγοντας διαδοχικά τις εντολές conf t, vtp pass και vtp password Cisco. Το σύστημα ανέφερε ότι η βάση δεδομένων VLAN της συσκευής χρησιμοποιεί πλέον τον κωδικό πρόσβασης Cisco. Ας ρίξουμε μια άλλη ματιά στην κατάσταση του VTP για να ελέγξουμε εάν οι πληροφορίες έχουν αναπαραχθεί. Όπως μπορείτε να δείτε, ο αριθμός των υπαρχόντων VLAN αυξήθηκε αυτόματα σε 9.
Αν κοιτάξετε τη βάση δεδομένων VLAN αυτού του μεταγωγέα, μπορείτε να δείτε ότι τα δίκτυα VLAN200 και VLAN500 που δημιουργήσαμε εμφανίστηκαν αυτόματα σε αυτήν.
Το ίδιο πρέπει να γίνει και με τον τελευταίο διακόπτη SW2. Ας εισαγάγουμε την εντολή show vlan - μπορείτε να δείτε ότι δεν έχουν γίνει αλλαγές σε αυτήν. Ομοίως, δεν υπάρχει καμία αλλαγή στην κατάσταση VTP. Προκειμένου αυτός ο διακόπτης να ενημερώσει τις πληροφορίες, πρέπει επίσης να ορίσετε έναν κωδικό πρόσβασης, δηλαδή να εισάγετε τις ίδιες εντολές όπως για το SW1. Μετά από αυτό, ο αριθμός των VLAN σε κατάσταση SW2 θα αυξηθεί σε 9.
Για αυτό είναι το VTP. Αυτό είναι ένα εξαιρετικό πράγμα που ενημερώνει αυτόματα τις πληροφορίες σε όλες τις συσκευές δικτύου πελατών μετά την πραγματοποίηση αλλαγών στη συσκευή διακομιστή. Δεν χρειάζεται να κάνετε μη αυτόματα αλλαγές στη βάση δεδομένων VLAN όλων των διακοπτών - η αναπαραγωγή πραγματοποιείται αυτόματα. Εάν έχετε 200 συσκευές δικτύου, οι αλλαγές που κάνετε θα αποθηκευτούν και στις διακόσιες συσκευές ταυτόχρονα. Σε κάθε περίπτωση, πρέπει να βεβαιωθούμε ότι το SW2 είναι επίσης πελάτης VTP, οπότε ας μεταβούμε στις ρυθμίσεις με την εντολή config t και ας εισαγάγουμε την εντολή πελάτη λειτουργίας vtp.
Έτσι, στο δίκτυό μας μόνο ο πρώτος διακόπτης είναι σε λειτουργία VTP Server, οι άλλοι δύο λειτουργούν σε λειτουργία VTP Client. Εάν μεταβώ τώρα στις ρυθμίσεις SW2 και πληκτρολογήσω την εντολή vlan 1000, θα λάβω το μήνυμα: "Η διαμόρφωση του VTP VLAN δεν επιτρέπεται όταν η συσκευή είναι σε λειτουργία πελάτη". Επομένως, δεν μπορώ να κάνω αλλαγές στη βάση δεδομένων VLAN εάν ο διακόπτης βρίσκεται σε λειτουργία πελάτη VTP. Εάν θέλω να κάνω οποιεσδήποτε αλλαγές, πρέπει να πάω στον διακομιστή μεταγωγής.
Πηγαίνω στις ρυθμίσεις του τερματικού SW0 και εισάγω τις εντολές vlan 999, ονομάζω IMRAN και βγαίνω. Αυτό το νέο δίκτυο εμφανίστηκε στη βάση δεδομένων VLAN αυτού του μεταγωγέα και αν πάω τώρα στη βάση δεδομένων του διακόπτη πελάτη SW2, θα δω ότι έχουν εμφανιστεί οι ίδιες πληροφορίες εδώ, δηλαδή έχει γίνει αναπαραγωγή.
Όπως είπα, το VTP είναι ένα εξαιρετικό λογισμικό, αλλά αν χρησιμοποιηθεί λανθασμένα, μπορεί να διαταράξει ένα ολόκληρο δίκτυο. Επομένως, θα πρέπει να είστε πολύ προσεκτικοί όταν χειρίζεστε το εταιρικό δίκτυο εάν δεν έχουν οριστεί το όνομα τομέα και ο κωδικός πρόσβασης VTP. Σε αυτήν την περίπτωση, το μόνο που χρειάζεται να κάνει ο χάκερ είναι να συνδέσει το καλώδιο του διακόπτη του σε μια πρίζα δικτύου στον τοίχο, να συνδεθεί σε οποιονδήποτε διακόπτη γραφείου χρησιμοποιώντας το πρωτόκολλο DTP και στη συνέχεια, χρησιμοποιώντας τον δημιουργημένο κορμό, να ενημερώσει όλες τις πληροφορίες χρησιμοποιώντας το πρωτόκολλο VTP . Με αυτόν τον τρόπο, ένας χάκερ μπορεί να διαγράψει όλα τα σημαντικά VLAN, εκμεταλλευόμενος το γεγονός ότι ο αριθμός αναθεώρησης της συσκευής του είναι υψηλότερος από τον αριθμό αναθεώρησης άλλων μεταγωγέων. Σε αυτήν την περίπτωση, οι μεταγωγείς της εταιρείας θα αντικαταστήσουν αυτόματα όλες τις πληροφορίες της βάσης δεδομένων VLAN με πληροφορίες που αναπαράγονται από τον κακόβουλο διακόπτη και ολόκληρο το δίκτυό σας θα καταρρεύσει.
Αυτό οφείλεται στο γεγονός ότι οι υπολογιστές συνδέονται χρησιμοποιώντας ένα καλώδιο δικτύου σε μια συγκεκριμένη θύρα μεταγωγέα στην οποία έχει εκχωρηθεί το VLAN 10 ή το VLAN20. Εάν αυτά τα δίκτυα διαγραφούν από τη βάση δεδομένων LAN του μεταγωγέα, θα απενεργοποιηθεί αυτόματα η θύρα που ανήκει στο ανύπαρκτο δίκτυο. Συνήθως, το δίκτυο μιας εταιρείας μπορεί να καταρρεύσει ακριβώς επειδή οι διακόπτες απλώς απενεργοποιούν τις θύρες που σχετίζονται με VLAN που καταργήθηκαν κατά την επόμενη ενημέρωση.
Για να αποφύγετε την εμφάνιση τέτοιου προβλήματος, πρέπει να ορίσετε ένα όνομα τομέα και κωδικό πρόσβασης VTP ή να χρησιμοποιήσετε τη λειτουργία Cisco Port Security, η οποία σας επιτρέπει να διαχειρίζεστε τις διευθύνσεις MAC των θυρών μεταγωγέα, εισάγοντας διάφορους περιορισμούς στη χρήση τους. Για παράδειγμα, εάν κάποιος άλλος προσπαθήσει να αλλάξει τη διεύθυνση MAC, η θύρα θα πέσει αμέσως. Θα ρίξουμε μια πιο προσεκτική ματιά σε αυτήν τη δυνατότητα των μεταγωγέων Cisco πολύ σύντομα, αλλά προς το παρόν το μόνο που χρειάζεται να γνωρίζετε είναι ότι η Port Security σάς επιτρέπει να βεβαιωθείτε ότι το VTP προστατεύεται από εισβολέα.
Ας συνοψίσουμε τι είναι η ρύθμιση VTP. Αυτή είναι η επιλογή της έκδοσης πρωτοκόλλου - 1 ή 2, η εκχώρηση λειτουργίας VTP - διακομιστής, πελάτης ή διαφανής. Όπως είπα ήδη, η τελευταία λειτουργία δεν ενημερώνει τη βάση δεδομένων VLAN της ίδιας της συσκευής, αλλά απλώς μεταδίδει όλες τις αλλαγές σε γειτονικές συσκευές. Ακολουθούν οι εντολές για την εκχώρηση ονόματος τομέα και κωδικού πρόσβασης: τομέας vtp <όνομα τομέα> και κωδικός πρόσβασης vtp <κωδικός πρόσβασης>.
Τώρα ας μιλήσουμε για τις ρυθμίσεις κλαδέματος VTP. Αν κοιτάξετε την τοπολογία δικτύου, μπορείτε να δείτε ότι και οι τρεις μεταγωγείς έχουν την ίδια βάση δεδομένων VLAN, πράγμα που σημαίνει ότι το VLAN10 και το VLAN20 αποτελούν μέρος και των 3 μεταγωγέων. Τεχνικά, ο διακόπτης SW2 δεν χρειάζεται VLAN20 επειδή δεν διαθέτει θύρες που ανήκουν σε αυτό το δίκτυο. Ωστόσο, ανεξάρτητα από αυτό, όλη η κίνηση που αποστέλλεται από τον υπολογιστή Laptop0 μέσω του δικτύου VLAN20 φτάνει στον μεταγωγέα SW1 και από αυτόν περνάει μέσω του κορμού στις θύρες SW2. Το κύριο καθήκον σας ως ειδικού δικτύου είναι να διασφαλίσετε ότι όσο το δυνατόν λιγότερα περιττά δεδομένα μεταδίδονται μέσω του δικτύου. Πρέπει να διασφαλίσετε ότι μεταδίδονται τα απαραίτητα δεδομένα, αλλά πώς μπορείτε να περιορίσετε τη μετάδοση πληροφοριών που δεν χρειάζονται η συσκευή;
Πρέπει να διασφαλίσετε ότι η κίνηση που προορίζεται για συσκευές στο VLAN20 δεν ρέει στις θύρες SW2 μέσω του κορμού όταν δεν απαιτείται. Δηλαδή, η κίνηση του Laptop0 θα πρέπει να φτάνει στο SW1 και στη συνέχεια στους υπολογιστές στο VLAN20, αλλά δεν θα πρέπει να υπερβαίνει τη δεξιά θύρα κορμού του SW1. Αυτό μπορεί να επιτευχθεί χρησιμοποιώντας το κλάδεμα VTP.
Για να γίνει αυτό, πρέπει να πάμε στις ρυθμίσεις του διακομιστή VTP SW0, γιατί όπως είπα ήδη, οι ρυθμίσεις VTP μπορούν να γίνουν μόνο μέσω του διακομιστή, μεταβείτε στις ρυθμίσεις καθολικής διαμόρφωσης και πληκτρολογήστε την εντολή vtp pruning. Δεδομένου ότι το Packet Tracer είναι απλώς ένα πρόγραμμα προσομοίωσης, δεν υπάρχει τέτοια εντολή στις εντολές γραμμής εντολών του. Ωστόσο, όταν πληκτρολογώ vtp pruning και πατάω Enter, το σύστημα μου λέει ότι η λειτουργία vtp pruning δεν είναι διαθέσιμη.
Χρησιμοποιώντας την εντολή show vtp status, θα δούμε ότι η λειτουργία VTP Pruning είναι σε κατάσταση απενεργοποιημένης, επομένως πρέπει να την καταστήσουμε διαθέσιμη μετακινώντας την στη θέση ενεργοποίησης. Αφού το κάνουμε αυτό, ενεργοποιούμε τη λειτουργία VTP Pruning και στους τρεις διακόπτες του δικτύου μας εντός του τομέα δικτύου.
Επιτρέψτε μου να σας υπενθυμίσω τι είναι το VTP Pruning. Όταν ενεργοποιήσουμε αυτήν τη λειτουργία, ο διακομιστής μεταγωγής SW0 ενημερώνει τον διακόπτη SW2 ότι μόνο το VLAN10 έχει ρυθμιστεί στις θύρες του. Μετά από αυτό, ο διακόπτης SW2 λέει στον διακόπτη SW1 ότι δεν χρειάζεται άλλη κίνηση εκτός από κίνηση που προορίζεται για το VLAN10. Τώρα, χάρη στο VTP Pruning, ο διακόπτης SW1 έχει τις πληροφορίες ότι δεν χρειάζεται να στείλει κίνηση VLAN20 κατά μήκος του κορμού SW1-SW2.
Αυτό είναι πολύ βολικό για εσάς ως διαχειριστή δικτύου. Δεν χρειάζεται να εισάγετε χειροκίνητα εντολές επειδή ο διακόπτης είναι αρκετά έξυπνος ώστε να στέλνει ακριβώς αυτό που χρειάζεται η συγκεκριμένη συσκευή δικτύου. Εάν αύριο βάλετε ένα άλλο τμήμα μάρκετινγκ στο επόμενο κτίριο και συνδέσετε το δίκτυο VLAN20 του στο μεταγωγέα SW2, αυτός ο διακόπτης θα πει αμέσως στον διακόπτη SW1 ότι έχει πλέον VLAN10 και VLAN20 και του ζητά να προωθήσει την κυκλοφορία και για τα δύο δίκτυα. Αυτές οι πληροφορίες ενημερώνονται συνεχώς σε όλες τις συσκευές, κάνοντας την επικοινωνία πιο αποτελεσματική.
Υπάρχει ένας άλλος τρόπος για να καθορίσετε τη μετάδοση της κίνησης - αυτός είναι να χρησιμοποιήσετε μια εντολή που επιτρέπει τη μετάδοση δεδομένων μόνο για το καθορισμένο VLAN. Πηγαίνω στις ρυθμίσεις του switch SW1, όπου με ενδιαφέρει η θύρα Fa0/4, και εισάγω τις εντολές int fa0/4 και switchport trunk allow vlan. Εφόσον γνωρίζω ήδη ότι το SW2 έχει μόνο VLAN10, μπορώ να πω στο SW1 να επιτρέπει μόνο κίνηση για αυτό το δίκτυο στη θύρα κορμού του χρησιμοποιώντας την εντολή επιτρεπόμενης vlan. Προγραμμάτισα λοιπόν τη θύρα κορμού Fa0/4 να μεταφέρει κίνηση μόνο για VLAN10. Αυτό σημαίνει ότι αυτή η θύρα δεν θα επιτρέπει περαιτέρω κίνηση από VLAN1, VLAN20 ή οποιοδήποτε άλλο δίκτυο εκτός από το καθορισμένο.
Ίσως αναρωτιέστε τι είναι καλύτερο να χρησιμοποιήσετε: VTP Pruning ή την επιτρεπόμενη εντολή vlan. Η απάντηση είναι υποκειμενική γιατί σε ορισμένες περιπτώσεις είναι λογικό να χρησιμοποιείται η πρώτη μέθοδος και σε άλλες είναι λογικό να χρησιμοποιείται η δεύτερη. Ως διαχειριστής δικτύου, εξαρτάται από εσάς να επιλέξετε την καλύτερη λύση. Σε ορισμένες περιπτώσεις, η απόφαση να προγραμματίσετε μια θύρα ώστε να επιτρέπει την κυκλοφορία από ένα συγκεκριμένο VLAN μπορεί να είναι καλή, αλλά σε άλλες μπορεί να είναι κακή. Στην περίπτωση του δικτύου μας, η χρήση της επιτρεπόμενης εντολής vlan μπορεί να δικαιολογηθεί εάν δεν πρόκειται να αλλάξουμε την τοπολογία του δικτύου. Αλλά εάν κάποιος αργότερα θέλει να προσθέσει μια ομάδα συσκευών που χρησιμοποιούν VLAN2 στο SW 20, θα ήταν πιο ενδεδειγμένο να χρησιμοποιήσει τη λειτουργία κλαδέματος VTP.
Έτσι, η ρύθμιση του VTP Pruning περιλαμβάνει τη χρήση των παρακάτω εντολών. Η εντολή vtp pruning παρέχει αυτόματη χρήση αυτής της λειτουργίας. Εάν θέλετε να διαμορφώσετε το VTP Pruning μιας θύρας κορμού ώστε να επιτρέπει τη μη αυτόματη διέλευση της κυκλοφορίας ενός συγκεκριμένου VLAN, χρησιμοποιήστε την εντολή για να επιλέξετε τη διεπαφή αριθμού θύρας κορμού <#>, να ενεργοποιήσετε τον κορμό λειτουργίας λειτουργίας μεταγωγής λειτουργίας κορμού και να επιτρέψετε τη μετάδοση της κίνησης σε ένα συγκεκριμένο δίκτυο χρησιμοποιώντας την εντολή switchport trunk επιτρεπόμενο vlan .
Στην τελευταία εντολή μπορείτε να χρησιμοποιήσετε 5 παραμέτρους. Όλα σημαίνει ότι επιτρέπεται η μετάδοση κίνησης για όλα τα VLAN, κανένας - η μετάδοση κίνησης για όλα τα VLAN απαγορεύεται. Εάν χρησιμοποιείτε την παράμετρο προσθήκης, μπορείτε να προσθέσετε ροή κίνησης για άλλο δίκτυο. Για παράδειγμα, επιτρέπουμε την κυκλοφορία VLAN10 και με την εντολή add μπορούμε επίσης να επιτρέψουμε τη διέλευση της κυκλοφορίας VLAN20. Η εντολή αφαίρεσης σάς επιτρέπει να αφαιρέσετε ένα από τα δίκτυα, για παράδειγμα, εάν χρησιμοποιήσετε την παράμετρο αφαίρεση 20, θα παραμείνει μόνο η κίνηση VLAN10.
Τώρα ας δούμε το εγγενές VLAN. Έχουμε ήδη πει ότι το native VLAN είναι ένα εικονικό δίκτυο για τη διέλευση κίνησης χωρίς ετικέτα μέσω μιας συγκεκριμένης θύρας κορμού.
Μπαίνω στις συγκεκριμένες ρυθμίσεις θύρας όπως υποδεικνύεται από την κεφαλίδα γραμμής εντολών SW(config-if)# και χρησιμοποιώ την εντολή switchport trunk native vlan <αριθμός δικτύου>, για παράδειγμα VLAN10. Τώρα όλη η κίνηση στο VLAN10 θα περνά από τον κορμό χωρίς ετικέτα.
Ας επιστρέψουμε στη λογική τοπολογία δικτύου στο παράθυρο Packet Tracer. Εάν χρησιμοποιήσω την εντολή switchport trunk native vlan 20 στη θύρα μεταγωγέα Fa0/4, τότε όλη η κίνηση στο VLAN20 θα διοχετεύεται μέσω του κορμού Fa0/4 – SW2 χωρίς ετικέτα. Όταν ο διακόπτης SW2 λάβει αυτήν την κίνηση, θα σκεφτεί: "αυτή είναι κίνηση χωρίς ετικέτα, πράγμα που σημαίνει ότι πρέπει να το δρομολογήσω στο εγγενές VLAN". Για αυτόν τον διακόπτη, το εγγενές VLAN είναι το δίκτυο VLAN1. Τα δίκτυα 1 και 20 δεν συνδέονται με κανέναν τρόπο, αλλά επειδή χρησιμοποιείται η λειτουργία εγγενούς VLAN, έχουμε την ευκαιρία να δρομολογήσουμε την κυκλοφορία VLAN20 σε ένα εντελώς διαφορετικό δίκτυο. Ωστόσο, αυτή η κίνηση θα είναι χωρίς κάψουλα και τα ίδια τα δίκτυα πρέπει να ταιριάζουν.
Ας το δούμε αυτό με ένα παράδειγμα. Θα πάω στις ρυθμίσεις του SW1 και θα χρησιμοποιήσω την εντολή switchport trunk native vlan 10. Τώρα οποιαδήποτε κίνηση VLAN10 θα βγαίνει από τη θύρα κορμού χωρίς ετικέτα. Όταν φτάσει στη θύρα κορμού SW2, ο διακόπτης θα καταλάβει ότι πρέπει να το προωθήσει στο VLAN1. Ως αποτέλεσμα αυτής της απόφασης, η κίνηση δεν θα μπορεί να φτάσει στους υπολογιστές PC2, 3 και 4, καθώς είναι συνδεδεμένοι στις θύρες πρόσβασης μεταγωγέα που προορίζονται για το VLAN10.
Τεχνικά, αυτό θα κάνει το σύστημα να αναφέρει ότι το εγγενές VLAN της θύρας Fa0/4, που αποτελεί μέρος του VLAN10, δεν ταιριάζει με τη θύρα Fa0/1, που είναι μέρος του VLAN1. Αυτό σημαίνει ότι οι καθορισμένες θύρες δεν θα μπορούν να λειτουργήσουν σε λειτουργία κορμού λόγω μη αντιστοιχίας εγγενούς VLAN.
Σας ευχαριστούμε που μείνατε μαζί μας. Σας αρέσουν τα άρθρα μας; Θέλετε να δείτε πιο ενδιαφέρον περιεχόμενο; Υποστηρίξτε μας κάνοντας μια παραγγελία ή προτείνοντας σε φίλους, Έκπτωση 30% για χρήστες Habr σε ένα μοναδικό ανάλογο διακομιστών εισαγωγικού επιπέδου, που εφευρέθηκε από εμάς για εσάς: (διατίθεται με RAID1 και RAID10, έως 24 πυρήνες και έως 40 GB DDR4).
Dell R730xd 2 φορές φθηνότερο; Μόνο εδώ στην Ολλανδία! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - από 99$! Διαβάστε σχετικά
Πηγή: www.habr.com