Täna jätkame oma arutelu VLAN-ide üle ja arutame VTP-protokolli, samuti VTP pügamise ja algse VLAN-i kontseptsioone. Rääkisime VTP-st juba ühes eelmises videos ja esimene asi, mis peaks teile VTP-st kuuldes meelde tulema, on see, et see ei ole magistraalprotokoll, hoolimata sellest, et seda nimetatakse VLAN-i magistraalprotokolliks.
Teatavasti on kaks populaarset magistraalprotokolli – patenteeritud Cisco ISL-protokoll, mida tänapäeval ei kasutata, ja 802.q-protokoll, mida kasutatakse erinevate tootjate võrguseadmetes magistraalliikluse kapseldamiseks. Seda protokolli kasutatakse ka Cisco lülitites. Oleme juba öelnud, et VTP on VLAN-i sünkroonimisprotokoll, see tähendab, et see on loodud VLAN-i andmebaasi sünkroonimiseks kõigi võrgulülitite vahel.
Mainisime erinevaid VTP režiime - server, klient, läbipaistev. Kui seade kasutab serverirežiimi, võimaldab see teha muudatusi, lisada või eemaldada VLAN-e. Kliendirežiim ei võimalda lüliti seadetes muudatusi teha, VLAN-i andmebaasi saate konfigureerida ainult VTP-serveri kaudu ja see kopeeritakse kõigis VTP-klientides. Läbipaistvas režiimis lüliti ei tee muudatusi oma VLAN-i andmebaasis, vaid lihtsalt läbib ennast ja edastab muudatused järgmisele kliendirežiimis seadmele. See režiim sarnaneb VTP keelamisega konkreetses seadmes, muutes selle VLAN-i muudatusteabe edastajaks.
Pöördume tagasi programmi Packet Tracer ja eelmises õppetükis käsitletud võrgutopoloogia juurde. Seadistasime müügiosakonnale VLAN10 võrgu ja turundusosakonnale VLAN20 võrgu, ühendades need kolme lülitiga.
Kommutaatorite SW0 ja SW1 vahel toimub side üle VLAN20 võrgu ning SW0 ja SW2 vahel toimub side üle VLAN10 võrgu tänu sellele, et lisasime VLAN10 lüliti SW1 VLAN andmebaasi.
VTP-protokolli toimimise arvestamiseks kasutame VTP-serverina üht lülitit, olgu selleks siis SW0. Kui mäletate, töötavad kõik lülitid vaikimisi VTP-serveri režiimis. Läheme lüliti käsurea terminali ja sisestame käsu show vtp status. Näete, et praegune VTP-protokolli versioon on 2 ja konfiguratsiooni versiooni number on 4. Kui mäletate, siis iga kord, kui VTP andmebaasis tehakse muudatusi, suureneb versiooni number ühe võrra.
Toetatud VLAN-ide maksimaalne arv on 255. See arv sõltub konkreetse Cisco kommutaatori kaubamärgist, kuna erinevad kommutaatorid võivad toetada erinevat arvu kohalikke virtuaalvõrke. Olemasolevate VLAN-ide arv on 7, minuti pärast vaatame, millised need võrgud on. VTP juhtimisrežiim on server, domeeninimi pole määratud, VTP pügamisrežiim on keelatud, tuleme selle juurde hiljem tagasi. VTP V2 ja VTP Traps Generation režiimid on samuti keelatud. 200–125 CCNA eksami sooritamiseks ei pea te teadma kahe viimase režiimi kohta, seega ärge muretsege nende pärast.
Vaatame VLAN-i andmebaasi, kasutades käsku show vlan. Nagu juba eelmises videos nägime, on meil 4 toetamata võrku: 1002, 1003, 1004 ja 1005.
Samuti loetletakse kaks meie loodud võrku, VLAN2 ja 10, ning vaikevõrk VLAN20. Liigume nüüd teise lüliti juurde ja sisestame VTP oleku vaatamiseks sama käsu. Näete, et selle lüliti versiooninumber on 1, see on VTP-serveri režiimis ja kogu muu teave sarnaneb esimese lülitiga. Kui sisestan käsu show VLAN, näen, et oleme seadistustes teinud 3 muudatust, ühe vähem kui lüliti SW2, mistõttu on SW0 redaktsiooni number 1. Esimese vaikeseadetes oleme teinud 3 muudatust. lüliti, seetõttu suurenes selle versiooni number 3-ni.
Vaatame nüüd SW2 olekut. Redaktsiooni number on siin 1, mis on kummaline. Peame tegema teise versiooni, kuna tehti 1 seadete muudatus. Vaatame VLAN-i andmebaasi.
Tegime ühe muudatuse, luues VLAN10, ja ma ei tea, miks seda teavet ei värskendatud. Võib-olla juhtus see seetõttu, et meil pole päris võrku, vaid tarkvaravõrgu simulaator, milles võib esineda vigu. Kui teil on Ciscos praktikal olles võimalus töötada päris seadmetega, aitab see teid rohkem kui Packet Traceri simulaator. Veel üks kasulik asi reaalsete seadmete puudumisel oleks GNC3 ehk graafiline Cisco võrgusimulaator. See on emulaator, mis kasutab seadme (nt ruuteri) tegelikku operatsioonisüsteemi. Simulaatoril ja emulaatoril on erinevus - esimene on programm, mis näeb välja nagu tõeline ruuter, kuid pole seda. Emulaatori tarkvara loob ainult seadme ise, kuid kasutab selle käitamiseks päris tarkvara. Kuid kui teil pole võimalust tegelikku Cisco IOS-i tarkvara käitada, on Packet Tracer teie parim valik.
Niisiis, peame konfigureerima SW0 VTP-serverina, selleks lähen globaalsete sätete konfiguratsioonirežiimi ja sisestan käsu vtp versioon 2. Nagu ma ütlesin, saame installida sellesse protokolli, mida vajame - 1 või 2. juhul kui vajame teist versiooni. Järgmisena määrame käsu vtp mode abil lüliti VTP-režiimi - server, klient või läbipaistev. Sel juhul vajame serverirežiimi ja pärast vtp mode serveri käsu sisestamist kuvab süsteem teate, et seade on juba serverirežiimis. Järgmiseks peame konfigureerima VTP domeeni, mille jaoks kasutame käsku vtp domain nwking.org. Miks see vajalik on? Kui võrgus on mõni muu kõrgema versiooninumbriga seade, alustavad kõik teised väiksema versiooninumbriga seadmed VLAN-i andmebaasi kopeerimist sellest seadmest. See juhtub aga ainult siis, kui seadmetel on sama domeeninimi. Näiteks kui töötate saidil nwking.org, märkige see domeen, kui Ciscos, siis domeen cisco.com ja nii edasi. Teie ettevõtte seadmete domeeninimi võimaldab teil neid eristada teise ettevõtte seadmetest või muudest võrgus olevatest välisseadmetest. Kui määrate seadmele ettevõtte domeeninime, muudate selle selle ettevõtte võrgu osaks.
Järgmine asi, mida teha, on määrata VTP parool. Seda on vaja selleks, et häkker, kellel on kõrge versiooninumbriga seade, ei saaks oma VTP sätteid teie kommutaatorisse kopeerida. Sisestan cisco parooli, kasutades käsku vtp parool cisco. Pärast seda on VTP-andmete replikatsioon lülitite vahel võimalik ainult siis, kui paroolid ühtivad. Kui kasutatakse vale parooli, siis VLAN-i andmebaasi ei uuendata.
Proovime luua veel mõned VLAN-id. Selleks kasutan käsku config t, vlan 200 käsuga loon võrgunumbri 200, panen sellele nimeks TEST ja salvestan muudatused käsuga exit. Seejärel loon teise vlan 500 ja nimetan selle TEST1. Kui nüüd sisestada käsk show vlan, siis lüliti virtuaalsete võrkude tabelis näete neid kahte uut võrku, millele pole määratud ühtegi porti.
Liigume edasi SW1 juurde ja vaatame selle VTP olekut. Näeme, et peale domeeninime pole siin midagi muutunud, VLAN-ide arv jääb võrdseks 7-ga. Meie loodud võrke me ei näe, kuna VTP parool ei ühti. Seadistage sellel lülitil VTP parool, sisestades järjestikku käsud conf t, vtp pass ja vtp password Cisco. Süsteem teatas, et seadme VLAN-i andmebaas kasutab nüüd Cisco parooli. Vaatame veel kord VTP olekut, et kontrollida, kas teavet on paljundatud. Nagu näete, on olemasolevate VLAN-ide arv automaatselt tõusnud 9-ni.
Kui vaadata selle lüliti VLAN-i andmebaasi, siis on näha, et meie loodud VLAN200 ja VLAN500 võrgud ilmusid sinna automaatselt.
Sama tuleb teha ka viimase lülitiga SW2. Sisestame käsu show vlan - on näha, et selles pole muudatusi toimunud. Samuti ei muutu VTP olek. Selleks, et see lüliti saaks teavet värskendada, peate seadistama ka parooli, st sisestama samad käsud, mis SW1 jaoks. Pärast seda suureneb SW2 olekus VLAN-ide arv 9-ni.
Selleks on VTP. See on suurepärane asi, mis värskendab automaatselt teavet kõigis kliendi võrguseadmetes pärast serveriseadmes muudatuste tegemist. Kõikide lülitite VLAN-andmebaasis pole vaja käsitsi muudatusi teha – replikatsioon toimub automaatselt. Kui teil on 200 võrguseadet, salvestatakse teie tehtud muudatused korraga kõigis kahesajas seadmes. Igaks juhuks peame veenduma, et SW2 on ka VTP-klient, nii et läheme seadistustesse käsuga config t ja sisestame vtp mode kliendi käsu.
Seega on meie võrgus ainult esimene lüliti VTP-serveri režiimis, ülejäänud kaks töötavad VTP-kliendi režiimis. Kui ma lähen nüüd SW2 sätetesse ja sisestan käsu vlan 1000, saan sõnumi: "VTP VLAN-i konfigureerimine pole lubatud, kui seade on kliendirežiimis." Seega ei saa ma VLAN-i andmebaasis muudatusi teha, kui lüliti on VTP-kliendi režiimis. Kui ma tahan mingeid muudatusi teha, pean minema switchi serverisse.
Lähen SW0 terminali sätetesse ja sisestan käsud vlan 999, panen nimeks IMRAN ja väljun. See uus võrk on tekkinud selle switchi VLAN-i andmebaasi ja kui ma nüüd lähen kliendi switchi SW2 andmebaasi, siis näen, et siin on ilmunud sama info ehk siis on toimunud replikatsioon.
Nagu ma ütlesin, on VTP suurepärane tarkvara, kuid kui seda kasutatakse valesti, võib see häirida kogu võrku. Seetõttu peate ettevõtte võrguga tegelemisel olema väga ettevaatlik, kui domeeninimi ja VTP parool pole määratud. Sel juhul ei pea häkker tegema muud, kui ühendama oma lüliti kaabli seinal olevasse võrgupistikupessa, ühendama DTP-protokolli kasutades suvalise kontorilülitiga ja seejärel loodud pagasiruumi kasutades kogu teavet VTP-protokolli abil värskendama. . Nii saab häkker kustutada kõik olulised VLAN-id, kasutades ära asjaolu, et tema seadme versiooninumber on suurem kui teiste lülitite versiooninumber. Sel juhul asendavad ettevõtte lülitid automaatselt kogu VLAN-i andmebaasi teabe pahatahtlikust lülitist kopeeritud teabega ja kogu teie võrk kukub kokku.
See on tingitud asjaolust, et arvutid on võrgukaabli abil ühendatud konkreetse kommutaatori pordiga, millele on määratud VLAN 10 või VLAN20. Kui need võrgud kommutaatori LAN-andmebaasist kustutatakse, keelab see automaatselt olematule võrku kuuluva pordi. Tavaliselt võib ettevõtte võrk kokku kukkuda just seetõttu, et lülitid lihtsalt keelavad VLAN-idega seotud pordid, mis järgmise värskenduse käigus eemaldati.
Sellise probleemi vältimiseks tuleb määrata VTP domeeninimi ja parool või kasutada Cisco Port Security funktsiooni, mis võimaldab hallata kommutaatoriportide MAC-aadresse, kehtestades nende kasutamisele erinevaid piiranguid. Näiteks kui keegi teine üritab MAC-aadressi muuta, läheb port koheselt alla. Vaatleme seda Cisco kommutaatorite funktsiooni varsti lähemalt, kuid praegu on vaja ainult teada, et Port Security võimaldab teil veenduda, et VTP on ründaja eest kaitstud.
Teeme kokkuvõtte, mis on VTP seadistus. See on protokolli versiooni valik - 1 või 2, VTP-režiimi määramine - server, klient või läbipaistev. Nagu ma juba ütlesin, ei värskenda viimane režiim seadme enda VLAN-i andmebaasi, vaid edastab kõik muudatused lihtsalt naaberseadmetele. Domeeninime ja parooli määramiseks on järgmised käsud: vtp domeen <domeeninimi> ja vtp parool <parool>.
Nüüd räägime VTP pügamise sätetest. Kui vaatate võrgu topoloogiat, näete, et kõigil kolmel kommutaatoril on sama VLAN-andmebaas, mis tähendab, et VLAN10 ja VLAN20 on osa kõigist 3 lülitist. Tehniliselt ei vaja switch SW2 VLAN20, kuna sellel pole sellesse võrku kuuluvaid porte. Kuid olenemata sellest jõuab kogu Laptop0 arvutist VLAN20 võrgu kaudu saadetav liiklus SW1 lülitisse ja sealt läbi pagasiruumi SW2 portidesse. Sinu kui võrguspetsialisti põhiülesanne on tagada, et üle võrgu edastataks võimalikult vähe mittevajalikke andmeid. Peate tagama vajalike andmete edastamise, kuid kuidas piirata seadmele mittevajaliku teabe edastamist?
Peate tagama, et VLAN20 seadmetele suunatud liiklus ei voolaks läbi pagasiruumi SW2 portidesse, kui see pole vajalik. See tähendab, et Laptop0 liiklus peaks jõudma SW1-sse ja seejärel VLAN20 arvutitesse, kuid ei tohiks ületada SW1 paremat magistraalporti. Seda saab saavutada VTP pügamise abil.
Selleks peame minema VTP-serveri SW0 sätetesse, sest nagu ma juba ütlesin, saab VTP-sätteid teha ainult serveri kaudu, minge globaalsetesse konfiguratsiooniseadetesse ja tippige käsk vtp pügamine. Kuna Packet Tracer on lihtsalt simulatsiooniprogramm, pole selle käsurea viipades sellist käsku. Kui aga sisestan vtp pruning ja vajutan Enter, teatab süsteem mulle, et vtp pügamise režiim pole saadaval.
Kasutades käsku show vtp status, näeme, et VTP pügamisrežiim on keelatud olekus, seega peame selle kättesaadavaks tegema, liigutades selle lubamisasendisse. Pärast seda aktiveerime VTP pügamise režiimi kõigis kolmes võrgu lülitis võrgu domeenis.
Lubage mul teile meelde tuletada, mis on VTP pügamine. Kui lubame selle režiimi, teatab lülitiserver SW0 lülitile SW2, et selle portides on konfigureeritud ainult VLAN10. Pärast seda teatab lüliti SW2 lülitile SW1, et see ei vaja muud liiklust peale VLAN10 jaoks mõeldud liikluse. Nüüd on tänu VTP pügamisele lülitil SW1 teave, et ta ei pea saatma VLAN20 liiklust mööda SW1-SW2 magistraati.
See on teile kui võrguadministraatorile väga mugav. Te ei pea käske käsitsi sisestama, sest lüliti on piisavalt nutikas, et saata täpselt seda, mida konkreetne võrguseade vajab. Kui paned homme järgmisesse majja teise turundusosakonna ja ühendad selle VLAN20 võrgu lülitiga SW2, teatab see lüliti kohe lülitile SW1, et tal on nüüd VLAN10 ja VLAN20, ning palub tal mõlema võrgu liiklust edastada. Seda teavet uuendatakse pidevalt kõigis seadmetes, muutes suhtluse tõhusamaks.
Liikluse edastamise täpsustamiseks on veel üks võimalus - selleks on kasutada käsku, mis võimaldab andmeedastust ainult määratud VLAN-i jaoks. Lähen lüliti SW1 seadetesse, kus mind huvitab port Fa0/4 ja sisestan käsud int fa0/4 ja switchport trunk enabled vlan. Kuna ma juba tean, et SW2-l on ainult VLAN10, saan käsk SW1 lubada oma magistraalpordis ainult selle võrgu liiklust, kasutades lubatud vlan-käsku. Nii et ma programmeerisin magistraalpordi Fa0/4 liiklust edastama ainult VLAN10 jaoks. See tähendab, et see port ei luba liiklust VLAN1, VLAN20 või muust võrgust peale määratud.
Võib tekkida küsimus, mida on parem kasutada: VTP pügamine või lubatud vlan käsk. Vastus on subjektiivne, sest mõnel juhul on mõttekas kasutada esimest meetodit, teistel aga teist. Võrguadministraatorina on teie enda teha parim lahendus. Mõnel juhul võib otsus programmeerida port, et võimaldada liiklust konkreetsest VLAN-ist, kuid mõnel juhul võib see olla halb. Meie võrgu puhul võib lubatud vlan käsu kasutamine olla õigustatud, kui me ei kavatse võrgu topoloogiat muuta. Aga kui keegi soovib hiljem SW 2-le lisada VLAN20 kasutavate seadmete rühma, siis oleks soovitav kasutada VTP pügamise režiimi.
Niisiis hõlmab VTP pügamise seadistamine järgmiste käskude kasutamist. Käsk vtp pügamine võimaldab seda režiimi automaatselt kasutada. Kui soovite konfigureerida magistraalpordi VTP kärpimist nii, et see võimaldaks konkreetse VLAN-i liiklust käsitsi läbida, siis kasutage käsku, et valida magistraalpordi numbriliides <#>, lubada magistraalrežiimi kommutatsioonipordi režiimi magistraal ja lubada liikluse edastamist. konkreetsesse võrku, kasutades switchport trunk lubatud vlan käsku .
Viimases käsus saate kasutada 5 parameetrit. Kõik tähendab, et kõigi VLAN-ide liiklusedastus on lubatud, mitte ükski – kõigi VLAN-ide liiklusedastus on keelatud. Kui kasutate lisamisparameetrit, saate lisada liikluse läbilaskevõimet teise võrgu jaoks. Näiteks lubame VLAN10 liiklust ja add käsuga saame ka VLAN20 liiklust läbi lasta. Eemaldamiskäsk võimaldab eemaldada ühe võrgu, näiteks kui kasutate parameetrit remove 20, jääb alles ainult VLAN10 liiklus.
Nüüd vaatame kohalikku VLAN-i. Oleme juba öelnud, et kohalik VLAN on virtuaalne võrk märgistamata liikluse edastamiseks läbi konkreetse magistraalpordi.
Lähen konkreetsetesse pordiseadetesse, nagu on näidatud SW(config-if)# käsurea päises, ja kasutan käsku switchport trunk native vlan <võrgunumber>, näiteks VLAN10. Nüüd toimub kogu VLAN10 liiklus läbi märgistamata pagasiruumi.
Pöördume Packet Traceri aknas tagasi loogilise võrgu topoloogia juurde. Kui kasutan kommutaatori pordis Fa20/0 käsku switchport trunk native vlan 4, siis kogu VLAN20 liiklus voolab läbi Fa0/4 – SW2 pagasiruumi märgistamata. Kui lüliti SW2 selle liikluse vastu võtab, mõtleb see: "See on märgistamata liiklus, mis tähendab, et ma peaksin selle suunama oma VLAN-i." Selle lüliti jaoks on loomulik VLAN VLAN1 võrk. Võrgud 1 ja 20 ei ole kuidagi ühendatud, kuid kuna kasutatakse natiivset VLAN-režiimi, siis on meil võimalus suunata VLAN20 liiklus hoopis teise võrku. See liiklus on aga kapseldamata ja võrgud ise peavad siiski ühtima.
Vaatame seda näitega. Ma lähen SW1 seadetesse ja kasutan käsku switchport trunk native vlan 10. Nüüd väljub igasugune VLAN10 liiklus pagasiruumi pordist märgistamata. Kui see jõuab magistraalporti SW2, mõistab lüliti, et peab selle edastama VLAN1-le. Selle otsuse tulemusena ei pääse liiklus arvutiteni PC2, 3 ja 4, kuna need on ühendatud VLAN10 jaoks mõeldud kommutaatori juurdepääsuportidega.
Tehniliselt annab see süsteemile teada, et VLAN0 osaks oleva pordi Fa4/10 loomulik VLAN ei ühti pordiga Fa0/1, mis on VLAN1 osa. See tähendab, et määratud pordid ei saa natiivse VLAN-i mittevastavuse tõttu magistraalrežiimis töötada.
Täname, et jäite meiega. Kas teile meeldivad meie artiklid? Kas soovite näha huvitavamat sisu? Toeta meid, esitades tellimuse või soovitades sõpradele, Habri kasutajatele 30% allahindlus ainulaadsele algtaseme serverite analoogile, mille me teie jaoks välja mõtlesime: (saadaval RAID1 ja RAID10, kuni 24 tuuma ja kuni 40 GB DDR4-ga).
Dell R730xd 2 korda odavam? Ainult siin Hollandis! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – alates 99 dollarist! Millegi kohta lugema
Allikas: www.habr.com