Hoy continuaremos nuestra discusión sobre VLAN y discutiremos el protocolo VTP, así como los conceptos de poda de VTP y VLAN nativa. Ya hablamos de VTP en uno de los vídeos anteriores, y lo primero que te debe venir a la mente cuando escuchas hablar de VTP es que no es un protocolo de trunking, a pesar de llamarse “protocolo de trunking VLAN”.
Como sabe, existen dos protocolos de enlace troncal populares: el protocolo propietario Cisco ISL, que no se utiliza en la actualidad, y el protocolo 802.q, que se utiliza en dispositivos de red de varios fabricantes para encapsular el tráfico de enlace troncal. Este protocolo también se utiliza en los conmutadores Cisco. Ya hemos dicho que VTP es un protocolo de sincronización VLAN, es decir, está diseñado para sincronizar la base de datos VLAN en todos los conmutadores de red.
Mencionamos diferentes modos VTP: servidor, cliente, transparente. Si el dispositivo usa el modo servidor, esto le permite realizar cambios, agregar o eliminar VLAN. El modo cliente no le permite realizar cambios en la configuración del conmutador, puede configurar la base de datos VLAN solo a través del servidor VTP y se replicará en todos los clientes VTP. Un conmutador en modo transparente no realiza cambios en su propia base de datos VLAN, sino que simplemente pasa a través de sí mismo y transfiere los cambios al siguiente dispositivo en modo cliente. Este modo es similar a deshabilitar VTP en un dispositivo específico, convirtiéndolo en un transportador de información de cambio de VLAN.
Volvamos al programa Packet Tracer y la topología de red analizada en la lección anterior. Configuramos una red VLAN10 para el departamento comercial y una red VLAN20 para el departamento de marketing, combinándolas con tres switch.
Entre los conmutadores SW0 y SW1 la comunicación se realiza a través de la red VLAN20, y entre SW0 y SW2 hay comunicación a través de la red VLAN10 debido a que agregamos VLAN10 a la base de datos VLAN del conmutador SW1.
Para considerar el funcionamiento del protocolo VTP, usemos uno de los conmutadores como servidor VTP, sea SW0. Si recuerda, de forma predeterminada todos los conmutadores funcionan en modo de servidor VTP. Vayamos a la terminal de línea de comando del conmutador e ingresemos el comando show vtp status. Verá que la versión actual del protocolo VTP es 2 y el número de revisión de configuración es 4. Si recuerda, cada vez que se realizan cambios en la base de datos de VTP, el número de revisión aumenta en uno.
La cantidad máxima de VLAN admitidas es 255. Esta cantidad depende de la marca del conmutador Cisco específico, ya que diferentes conmutadores pueden admitir diferentes cantidades de redes virtuales locales. La cantidad de VLAN existentes es 7, en un minuto veremos cuáles son estas redes. El modo de control de VTP es servidor, el nombre de dominio no está configurado, el modo de poda de VTP está deshabilitado, volveremos a esto más adelante. Los modos VTP V2 y Generación de trampas VTP también están deshabilitados. No necesita conocer los dos últimos modos para aprobar el examen CCNA 200-125, así que no se preocupe por ellos.
Echemos un vistazo a la base de datos VLAN usando el comando show vlan. Como ya vimos en el vídeo anterior, tenemos 4 redes no soportadas: 1002, 1003, 1004 y 1005.
También enumera las 2 redes que creamos, VLAN10 y 20, y la red predeterminada, VLAN1. Ahora pasemos a otro conmutador e ingresemos el mismo comando para ver el estado del VTP. Verá que el número de revisión de este conmutador es 3, está en modo de servidor VTP y toda la demás información es similar a la del primer conmutador. Cuando ingreso el comando show VLAN, puedo ver que hemos realizado 2 cambios en la configuración, uno menos que el interruptor SW0, por lo que el número de revisión de SW1 es 3. Hemos realizado 3 cambios en la configuración predeterminada del primero. interruptor, por lo tanto su número de revisión aumentó a 4.
Ahora veamos el estado de SW2. El número de revisión aquí es 1, lo cual es extraño. Debemos tener una segunda revisión porque se realizó 1 cambio de configuración. Veamos la base de datos VLAN.
Hicimos un cambio, creando VLAN10, y no sé por qué esa información no se actualizó. Quizás esto haya sucedido porque no tenemos una red real, sino un software de simulación de red, que puede tener errores. Cuando tenga la oportunidad de trabajar con dispositivos reales mientras realiza una pasantía en Cisco, le será más útil que el simulador Packet Tracer. Otra cosa útil en ausencia de dispositivos reales sería GNC3, o un simulador gráfico de red de Cisco. Se trata de un emulador que utiliza el sistema operativo real de un dispositivo, como por ejemplo un enrutador. Existe una diferencia entre un simulador y un emulador: el primero es un programa que parece un enrutador real, pero no lo es. El software emulador crea sólo el dispositivo en sí, pero utiliza software real para operarlo. Pero si no tiene la capacidad de ejecutar el software Cisco IOS real, Packet Tracer es su mejor opción.
Entonces, necesitamos configurar SW0 como servidor VTP, para esto entro al modo de configuración de configuración global e ingreso el comando vtp versión 2. Como dije, podemos instalar la versión del protocolo que necesitamos: 1 o 2, en este caso necesitamos una segunda versión. A continuación, usando el comando vtp mode, configuramos el modo VTP del conmutador: servidor, cliente o transparente. En este caso, necesitamos el modo servidor, y después de ingresar el comando servidor modo vtp, el sistema muestra un mensaje que el dispositivo ya está en modo servidor. A continuación, debemos configurar un dominio VTP, para lo cual utilizamos el comando vtp domain nwking.org. ¿Por qué es esto necesario? Si hay otro dispositivo en la red con un número de revisión más alto, todos los demás dispositivos con un número de revisión más bajo comienzan a replicar la base de datos VLAN desde ese dispositivo. Sin embargo, esto sólo sucede si los dispositivos tienen el mismo nombre de dominio. Por ejemplo, si trabaja en nwking.org, indica este dominio, si trabaja en Cisco, entonces el dominio cisco.com, etc. El nombre de dominio de los dispositivos de su empresa le permite distinguirlos de los dispositivos de otra empresa o de cualquier otro dispositivo externo en la red. Cuando asigna el nombre de dominio de una empresa a un dispositivo, lo convierte en parte de la red de esa empresa.
Lo siguiente que debe hacer es configurar la contraseña del VTP. Es necesario para que un pirata informático, que tenga un dispositivo con un número de revisión alto, no pueda copiar su configuración VTP a su conmutador. Ingreso la contraseña de Cisco usando el comando vtp contraseña de Cisco. Después de esto, la replicación de datos VTP entre conmutadores sólo será posible si las contraseñas coinciden. Si se utiliza una contraseña incorrecta, la base de datos VLAN no se actualizará.
Intentemos crear algunas VLAN más. Para hacer esto, uso el comando config t, uso el comando vlan 200 para crear una red número 200, le doy el nombre TEST y guardo los cambios con el comando exit. Luego creo otro vlan 500 y lo llamo TEST1. Si ahora ingresa el comando show vlan, entonces en la tabla de redes virtuales del switch podrá ver estas dos nuevas redes, a las que no se les ha asignado ni un solo puerto.
Pasemos a SW1 y veamos su estado de VTP. Vemos que aquí nada ha cambiado excepto el nombre de dominio, el número de VLAN sigue siendo igual a 7. No vemos aparecer las redes que creamos porque la contraseña del VTP no coincide. Configuremos la contraseña VTP en este conmutador ingresando secuencialmente los comandos conf t, vtp pass y vtp contraseña Cisco. El sistema informó que la base de datos VLAN del dispositivo ahora usa la contraseña de Cisco. Echemos otro vistazo al estado del VTP para comprobar si la información se ha replicado. Como puede ver, la cantidad de VLAN existentes ha aumentado automáticamente a 9.
Si observa la base de datos VLAN de este conmutador, puede ver que en ella aparecieron automáticamente las redes VLAN200 y VLAN500 que creamos.
Se debe hacer lo mismo con el último interruptor SW2. Ingresemos el comando show vlan; puede ver que no se han producido cambios en él. Asimismo, no existe ningún cambio en el estatus del VTP. Para que este interruptor actualice la información, también debe configurar una contraseña, es decir, ingresar los mismos comandos que para SW1. Después de esto, la cantidad de VLAN en estado SW2 aumentará a 9.
Para eso está el VTP. Esto es una gran cosa que actualiza automáticamente la información en todos los dispositivos de red del cliente después de que se realizan cambios en el dispositivo del servidor. No es necesario realizar cambios manualmente en la base de datos VLAN de todos los conmutadores: la replicación se produce automáticamente. Si tiene 200 dispositivos de red, los cambios que realice se guardarán en los doscientos dispositivos al mismo tiempo. Por si acaso, debemos asegurarnos de que SW2 también sea un cliente VTP, así que vayamos a la configuración con el comando config t e ingresemos el comando de cliente en modo vtp.
Así, en nuestra red sólo el primer switch está en modo Servidor VTP, los otros dos funcionan en modo Cliente VTP. Si ahora entro en la configuración de SW2 e ingreso el comando vlan 1000, recibiré el mensaje: "no se permite configurar VTP VLAN cuando el dispositivo está en modo cliente". Por lo tanto, no puedo realizar ningún cambio en la base de datos VLAN si el conmutador está en modo cliente VTP. Si quiero realizar algún cambio, debo ir al servidor de conmutación.
Voy a la configuración del terminal SW0 e ingreso los comandos vlan 999, nombre IMRAN y salgo. Esta nueva red ha aparecido en la base de datos VLAN de este switch, y si ahora voy a la base de datos del switch cliente SW2, veré que aquí ha aparecido la misma información, es decir, que se ha producido la replicación.
Como dije, VTP es un gran software, pero si se usa incorrectamente, puede interrumpir toda una red. Por lo tanto, debe tener mucho cuidado al manejar la red de la empresa si el nombre de dominio y la contraseña de VTP no están configurados. En este caso, todo lo que el hacker necesita hacer es enchufar el cable de su switch a una toma de red en la pared, conectarse a cualquier switch de la oficina usando el protocolo DTP y luego, usando la troncal creada, actualizar toda la información usando el protocolo VTP. . De esta manera, un hacker puede eliminar todas las VLAN importantes, aprovechando el hecho de que el número de revisión de su dispositivo es mayor que el número de revisión de otros conmutadores. En este caso, los conmutadores de la empresa reemplazarán automáticamente toda la información de la base de datos VLAN con información replicada desde el conmutador malicioso y toda su red colapsará.
Esto se debe al hecho de que las computadoras están conectadas mediante un cable de red a un puerto de conmutador específico al que está asignada VLAN 10 o VLAN20. Si estas redes se eliminan de la base de datos LAN del conmutador, se desactivará automáticamente el puerto que pertenece a la red inexistente. Normalmente, la red de una empresa puede colapsar precisamente porque los conmutadores simplemente desactivan los puertos asociados con las VLAN que se eliminaron durante la siguiente actualización.
Para evitar que ocurra tal problema, debe configurar un nombre de dominio y una contraseña de VTP o usar la función Cisco Port Security, que le permite administrar las direcciones MAC de los puertos del switch, introduciendo varias restricciones en su uso. Por ejemplo, si alguien intenta cambiar la dirección MAC, el puerto se cerrará inmediatamente. Muy pronto analizaremos más de cerca esta característica de los conmutadores Cisco, pero por ahora todo lo que necesita saber es que Port Security le permite asegurarse de que VTP esté protegido contra un atacante.
Resumamos qué es una configuración VTP. Esta es la elección de la versión del protocolo: 1 o 2, la asignación del modo VTP: servidor, cliente o transparente. Como ya dije, el último modo no actualiza la base de datos VLAN del dispositivo en sí, sino que simplemente transmite todos los cambios a los dispositivos vecinos. Los siguientes son los comandos para asignar un nombre de dominio y una contraseña: dominio vtp <nombre de dominio> y contraseña vtp <contraseña>.
Ahora hablemos de la configuración de poda de VTP. Si observa la topología de la red, puede ver que los tres conmutadores tienen la misma base de datos VLAN, lo que significa que VLAN10 y VLAN20 son parte de los 3 conmutadores. Técnicamente, el switch SW2 no necesita VLAN20 porque no tiene puertos pertenecientes a esta red. Sin embargo, independientemente de esto, todo el tráfico enviado desde la computadora Laptop0 a través de la red VLAN20 llega al conmutador SW1 y desde él pasa por el troncal a los puertos SW2. Su tarea principal como especialista en redes es garantizar que se transmita la menor cantidad posible de datos innecesarios a través de la red. Debe asegurarse de que se transmitan los datos necesarios, pero ¿cómo puede limitar la transmisión de información que el dispositivo no necesita?
Debe asegurarse de que el tráfico destinado a dispositivos en VLAN20 no fluya a los puertos SW2 a través del troncal cuando no sea necesario. Es decir, el tráfico de Laptop0 debe llegar a SW1 y luego a las computadoras en VLAN20, pero no debe ir más allá del puerto troncal derecho de SW1. Esto se puede lograr utilizando VTP Pruning.
Para hacer esto, debemos ir a la configuración del servidor VTP SW0, porque como ya dije, la configuración del VTP solo se puede realizar a través del servidor, vaya a la configuración global y escriba el comando de poda vtp. Dado que Packet Tracer es solo un programa de simulación, no existe tal comando en sus indicaciones de línea de comando. Sin embargo, cuando escribo vtp poding y presiono Enter, el sistema me dice que el modo de poda vtp no está disponible.
Usando el comando show vtp status, veremos que el modo de poda de VTP está en estado deshabilitado, por lo que debemos hacerlo disponible moviéndolo a la posición habilitada. Hecho esto activamos el modo VTP Pruning en los tres switch de nuestra red dentro del dominio de red.
Déjame recordarte qué es la poda VTP. Cuando habilitamos este modo, el servidor de conmutación SW0 informa al conmutador SW2 que solo VLAN10 está configurada en sus puertos. Después de esto, el conmutador SW2 le dice al conmutador SW1 que no necesita ningún tráfico que no sea el destinado a la VLAN10. Ahora, gracias a VTP Pruning, el switch SW1 tiene la información de que no necesita enviar tráfico VLAN20 a lo largo del troncal SW1-SW2.
Esto es muy conveniente para usted como administrador de red. No es necesario ingresar comandos manualmente porque el conmutador es lo suficientemente inteligente como para enviar exactamente lo que necesita el dispositivo de red específico. Si mañana coloca otro departamento de marketing en el edificio de al lado y conecta su red VLAN20 al conmutador SW2, ese conmutador le dirá inmediatamente al conmutador SW1 que ahora tiene VLAN10 y VLAN20 y le pedirá que reenvíe el tráfico para ambas redes. Esta información se actualiza constantemente en todos los dispositivos, lo que hace que la comunicación sea más eficiente.
Hay otra forma de especificar la transmisión de tráfico: utilizar un comando que permita la transmisión de datos solo para la VLAN especificada. Voy a la configuración del switch SW1, donde estoy interesado en el puerto Fa0/4, e ingreso los comandos int fa0/4 y switchport troncal permitido vlan. Como ya sé que SW2 solo tiene VLAN10, puedo decirle a SW1 que permita solo el tráfico para esa red en su puerto troncal usando el comando vlan permitido. Entonces programé el puerto troncal Fa0/4 para transportar tráfico solo para VLAN10. Esto significa que este puerto no permitirá el tráfico desde VLAN1, VLAN20 o cualquier otra red distinta a la especificada.
Quizás se pregunte cuál es mejor usar: VTP Pruning o el comando vlan permitido. La respuesta es subjetiva porque en algunos casos tiene sentido utilizar el primer método y en otros tiene sentido utilizar el segundo. Como administrador de red, depende de usted elegir la mejor solución. En algunos casos, la decisión de programar un puerto para permitir el tráfico desde una VLAN específica puede ser buena, pero en otros puede ser mala. En el caso de nuestra red, puede estar justificado utilizar el comando vlan permitido si no vamos a cambiar la topología de la red. Pero si alguien luego quiere agregar un grupo de dispositivos usando VLAN2 al SW 20, sería más recomendable usar el modo VTP Pruning.
Por lo tanto, configurar VTP Pruning implica el uso de los siguientes comandos. El comando vtp pruning proporciona el uso automático de este modo. Si desea configurar la poda VTP de un puerto troncal para permitir que el tráfico de una VLAN específica pase manualmente, utilice el comando para seleccionar la interfaz del número de puerto troncal <#>, habilite el modo troncal del modo switchport y permita la transmisión de tráfico. a una red específica usando el comando vlan permitido troncal switchport .
En el último comando puedes usar 5 parámetros. Todo significa que se permite la transmisión de tráfico para todas las VLAN, ninguno: está prohibida la transmisión de tráfico para todas las VLAN. Si utiliza el parámetro Agregar, puede agregar el rendimiento del tráfico para otra red. Por ejemplo, permitimos el tráfico VLAN10 y con el comando agregar también podemos permitir el paso del tráfico VLAN20. El comando remove le permite eliminar una de las redes, por ejemplo, si usa el parámetro remove 20, solo quedará el tráfico VLAN10.
Ahora veamos la VLAN nativa. Ya hemos dicho que la VLAN nativa es una red virtual para pasar tráfico sin etiquetar a través de un puerto troncal específico.
Entro en la configuración del puerto específico como lo indica el encabezado de la línea de comando SW(config-if)# y uso el comando switchport trunk native vlan <número de red>, por ejemplo VLAN10. Ahora todo el tráfico en VLAN10 pasará por la troncal sin etiquetar.
Volvamos a la topología de la red lógica en la ventana de Packet Tracer. Si uso el comando vlan 20 nativo del troncal switchport en el puerto del switch Fa0/4, entonces todo el tráfico en VLAN20 fluirá a través del troncal Fa0/4 – SW2 sin etiquetar. Cuando el switch SW2 reciba este tráfico, pensará: "este es tráfico sin etiquetar, lo que significa que debo enrutarlo a la VLAN nativa". Para este conmutador, la VLAN nativa es la red VLAN1. Las redes 1 y 20 no están conectadas de ninguna manera, pero como se utiliza el modo VLAN nativo, tenemos la oportunidad de enrutar el tráfico VLAN20 a una red completamente diferente. Sin embargo, este tráfico no estará encapsulado y las redes mismas aún deben coincidir.
Veamos esto con un ejemplo. Entraré en la configuración de SW1 y usaré el comando switchport trunk nativo vlan 10. Ahora cualquier tráfico VLAN10 saldrá del puerto troncal sin etiquetar. Cuando llegue al puerto troncal SW2, el conmutador entenderá que debe reenviarlo a la VLAN1. Como resultado de esta decisión, el tráfico no podrá llegar a las computadoras PC2, 3 y 4, ya que están conectadas a los puertos de acceso del switch destinados a VLAN10.
Técnicamente, esto hará que el sistema informe que la VLAN nativa del puerto Fa0/4, que forma parte de VLAN10, no coincide con el puerto Fa0/1, que forma parte de VLAN1. Esto significa que los puertos especificados no podrán funcionar en modo troncal debido a una discrepancia en la VLAN nativa.
Gracias por estar con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más contenido interesante? Apóyanos haciendo un pedido o recomendándonos a amigos, 30% de descuento para usuarios de Habr en un análogo único de servidores de nivel de entrada, que fue inventado por nosotros para usted: (disponible con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).
Dell R730xd 2 veces más barato? Solo aqui ¡en los Paises Bajos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ¡desde $99! Leer acerca de
Fuente: habr.com