Aujourd'hui, nous allons poursuivre notre discussion sur les VLAN et discuter du protocole VTP, ainsi que des concepts de VTP Pruning et de Native VLAN. Nous avons déjà parlé de VTP dans l'une des vidéos précédentes, et la première chose qui devrait vous venir à l'esprit lorsque vous entendez parler de VTP est qu'il ne s'agit pas d'un protocole de liaison, bien qu'il soit appelé « protocole de liaison VLAN ».
Comme vous le savez, il existe deux protocoles de liaison populaires : le protocole propriétaire Cisco ISL, qui n'est pas utilisé aujourd'hui, et le protocole 802.q, qui est utilisé dans les périphériques réseau de divers fabricants pour encapsuler le trafic de liaison. Ce protocole est également utilisé dans les commutateurs Cisco. Nous avons déjà dit que VTP est un protocole de synchronisation VLAN, c'est-à-dire qu'il est conçu pour synchroniser la base de données VLAN sur tous les commutateurs réseau.
Nous avons mentionné différents modes VTP – serveur, client, transparent. Si l'appareil utilise le mode serveur, cela vous permet d'apporter des modifications, d'ajouter ou de supprimer des VLAN. Le mode client ne vous permet pas de modifier les paramètres du commutateur, vous pouvez configurer la base de données VLAN uniquement via le serveur VTP et elle sera répliquée sur tous les clients VTP. Un commutateur en mode transparent n'apporte pas de modifications à sa propre base de données VLAN, mais passe simplement par lui-même et transfère les modifications au périphérique suivant en mode client. Ce mode est similaire à la désactivation de VTP sur un périphérique spécifique, le transformant en un transporteur d'informations de modification de VLAN.
Revenons au programme Packet Tracer et à la topologie du réseau abordée dans la leçon précédente. Nous avons configuré un réseau VLAN10 pour le service commercial et un réseau VLAN20 pour le service marketing, en les combinant avec trois commutateurs.
Entre les commutateurs SW0 et SW1, la communication s'effectue via le réseau VLAN20, et entre SW0 et SW2, il y a une communication via le réseau VLAN10 du fait que nous avons ajouté VLAN10 à la base de données VLAN du commutateur SW1.
Afin d'envisager le fonctionnement du protocole VTP, utilisons l'un des commutateurs comme serveur VTP, que ce soit SW0. Si vous vous en souvenez, par défaut, tous les commutateurs fonctionnent en mode serveur VTP. Allons au terminal de ligne de commande du commutateur et entrons dans la commande show vtp status. Vous voyez que la version actuelle du protocole VTP est 2 et le numéro de révision de la configuration est 4. Si vous vous en souvenez, chaque fois que des modifications sont apportées à la base de données VTP, le numéro de révision augmente de un.
Le nombre maximum de VLAN pris en charge est de 255. Ce nombre dépend de la marque du commutateur Cisco spécifique, car différents commutateurs peuvent prendre en charge différents nombres de réseaux virtuels locaux. Le nombre de VLAN existants est de 7, dans une minute nous verrons quels sont ces réseaux. Le mode de contrôle VTP est serveur, le nom de domaine n'est pas défini, le mode VTP Pruning est désactivé, nous y reviendrons plus tard. Les modes VTP V2 et VTP Traps Generation sont également désactivés. Vous n'avez pas besoin de connaître les deux derniers modes pour réussir l'examen CCNA 200-125, alors ne vous inquiétez pas.
Jetons un coup d'œil à la base de données VLAN à l'aide de la commande show vlan. Comme nous l'avons déjà vu dans la vidéo précédente, nous avons 4 réseaux non supportés : 1002, 1003, 1004 et 1005.
Il répertorie également les 2 réseaux que nous avons créés, VLAN10 et 20, ainsi que le réseau par défaut, VLAN1. Passons maintenant à un autre commutateur et entrons la même commande pour afficher l'état du VTP. Vous voyez que le numéro de révision de ce commutateur est 3, il est en mode serveur VTP et toutes les autres informations sont similaires à celles du premier commutateur. Lorsque j'entre la commande show VLAN, je peux voir que nous avons apporté 2 modifications aux paramètres, une de moins que le commutateur SW0, c'est pourquoi le numéro de révision de SW1 est 3. Nous avons apporté 3 modifications aux paramètres par défaut du premier commutateur, donc son numéro de révision est passé à 4.
Regardons maintenant l'état de SW2. Le numéro de révision ici est 1, ce qui est étrange. Nous devons avoir une deuxième révision car 1 changement de paramètres a été effectué. Regardons la base de données VLAN.
Nous avons apporté une modification en créant le VLAN10, et je ne sais pas pourquoi ces informations n'ont pas été mises à jour. Cela est peut-être dû au fait que nous n'avons pas de véritable réseau, mais un simulateur de réseau logiciel, qui peut contenir des erreurs. Lorsque vous avez la possibilité de travailler avec de vrais appareils pendant votre stage chez Cisco, cela vous sera plus utile que le simulateur Packet Tracer. Une autre chose utile en l'absence de vrais appareils serait GNC3, ou un simulateur de réseau graphique Cisco. Il s'agit d'un émulateur qui utilise le véritable système d'exploitation d'un appareil, tel qu'un routeur. Il y a une différence entre un simulateur et un émulateur : le premier est un programme qui ressemble à un vrai routeur, mais n'en est pas un. Le logiciel d'émulation crée uniquement l'appareil lui-même, mais utilise un véritable logiciel pour le faire fonctionner. Mais si vous n'avez pas la possibilité d'exécuter le véritable logiciel Cisco IOS, Packet Tracer est votre meilleure option.
Nous devons donc configurer SW0 en tant que serveur VTP, pour cela je passe en mode de configuration des paramètres globaux et j'entre la commande vtp version 2. Comme je l'ai dit, nous pouvons installer la version du protocole dont nous avons besoin - 1 ou 2, dans ce cas, nous avons besoin d’une deuxième version. Ensuite, à l'aide de la commande vtp mode, nous définissons le mode VTP du commutateur - serveur, client ou transparent. Dans ce cas, nous avons besoin du mode serveur, et après avoir entré la commande vtp mode server, le système affiche un message indiquant que l'appareil est déjà en mode serveur. Ensuite, nous devons configurer un domaine VTP, pour lequel nous utilisons la commande vtp domain nwking.org. Pourquoi est-ce nécessaire ? S'il existe un autre périphérique sur le réseau avec un numéro de révision plus élevé, tous les autres périphériques avec un numéro de révision inférieur commencent à répliquer la base de données VLAN à partir de ce périphérique. Toutefois, cela ne se produit que si les appareils portent le même nom de domaine. Par exemple, si vous travaillez chez nwking.org, vous indiquez ce domaine, si chez Cisco, alors le domaine cisco.com, et ainsi de suite. Le nom de domaine des appareils de votre entreprise vous permet de les distinguer des appareils d'une autre entreprise ou de tout autre appareil externe sur le réseau. Lorsque vous attribuez le nom de domaine d'une entreprise à un appareil, vous l'intégrez au réseau de cette entreprise.
La prochaine chose à faire est de définir le mot de passe VTP. Il est nécessaire pour qu'un pirate informatique, disposant d'un appareil avec un numéro de révision élevé, ne puisse pas copier ses paramètres VTP sur votre commutateur. J'entre le mot de passe Cisco à l'aide de la commande cisco vtp password. Après cela, la réplication des données VTP entre les commutateurs ne sera possible que si les mots de passe correspondent. Si un mauvais mot de passe est utilisé, la base de données VLAN ne sera pas mise à jour.
Essayons de créer d'autres VLAN. Pour ce faire, j'utilise la commande config t, j'utilise la commande vlan 200 pour créer un numéro de réseau 200, je lui donne le nom TEST et j'enregistre les modifications avec la commande exit. Ensuite, je crée un autre VLAN 500 et l'appelle TEST1. Si vous entrez maintenant la commande show vlan, alors dans le tableau des réseaux virtuels du commutateur, vous pouvez voir ces deux nouveaux réseaux, auxquels aucun port n'est attribué.
Passons à SW1 et voyons son statut VTP. On voit que rien n'a changé ici sauf le nom de domaine, le nombre de VLAN reste égal à 7. On ne voit pas apparaître les réseaux que nous avons créés car le mot de passe VTP ne correspond pas. Définissons le mot de passe VTP sur ce commutateur en entrant séquentiellement les commandes conf t, vtp pass et vtp password Cisco. Le système a signalé que la base de données VLAN de l'appareil utilise désormais le mot de passe Cisco. Examinons à nouveau l'état du VTP pour vérifier si les informations ont été répliquées. Comme vous pouvez le constater, le nombre de VLAN existants est automatiquement passé à 9.
Si vous regardez la base de données VLAN de ce commutateur, vous pouvez voir que les réseaux VLAN200 et VLAN500 que nous avons créés y sont automatiquement apparus.
La même chose doit être faite avec le dernier interrupteur SW2. Entrons dans la commande show vlan - vous pouvez voir qu'aucun changement n'y a été apporté. De même, il n’y a aucun changement dans le statut VTP. Pour que ce commutateur mette à jour les informations, vous devez également définir un mot de passe, c'est-à-dire saisir les mêmes commandes que pour SW1. Après cela, le nombre de VLAN en statut SW2 passera à 9.
C'est à cela que sert VTP. C'est une bonne chose qui met automatiquement à jour les informations sur tous les périphériques réseau clients une fois que des modifications sont apportées au périphérique serveur. Vous n'avez pas besoin d'apporter manuellement des modifications à la base de données VLAN de tous les commutateurs : la réplication s'effectue automatiquement. Si vous disposez de 200 appareils réseau, les modifications que vous apportez seront enregistrées sur les deux cents appareils en même temps. Juste au cas où, nous devons nous assurer que SW2 est également un client VTP, alors allons dans les paramètres avec la commande config t et entrons la commande client en mode vtp.
Ainsi, dans notre réseau seul le premier switch est en mode Serveur VTP, les deux autres fonctionnent en mode Client VTP. Si je vais maintenant dans les paramètres SW2 et saisis la commande vlan 1000, je recevrai le message : « la configuration du VTP VLAN n'est pas autorisée lorsque l'appareil est en mode client ». Ainsi, je ne peux apporter aucune modification à la base de données VLAN si le commutateur est en mode client VTP. Si je souhaite apporter des modifications, je dois accéder au serveur de commutation.
Je vais dans les paramètres du terminal SW0 et saisis les commandes vlan 999, nomme IMRAN et sors. Ce nouveau réseau est apparu dans la base de données VLAN de ce commutateur, et si je vais maintenant dans la base de données du commutateur client SW2, je verrai que les mêmes informations sont apparues ici, c'est-à-dire qu'une réplication a eu lieu.
Comme je l'ai dit, VTP est un excellent logiciel, mais s'il est mal utilisé, il peut perturber l'ensemble d'un réseau. Par conséquent, vous devez être très prudent lorsque vous manipulez le réseau de l'entreprise si le nom de domaine et le mot de passe VTP ne sont pas définis. Dans ce cas, il suffit au hacker de brancher le câble de son switch sur une prise réseau murale, de se connecter à n'importe quel switch de bureau en utilisant le protocole DTP puis, à l'aide du trunk créé, de mettre à jour toutes les informations en utilisant le protocole VTP. . De cette façon, un pirate informatique peut supprimer tous les VLAN importants, en profitant du fait que le numéro de révision de son appareil est supérieur à celui des autres commutateurs. Dans ce cas, les commutateurs de l'entreprise remplaceront automatiquement toutes les informations de la base de données VLAN par les informations répliquées à partir du commutateur malveillant, et l'ensemble de votre réseau s'effondrera.
Cela est dû au fait que les ordinateurs sont connectés à l'aide d'un câble réseau à un port de commutateur spécifique auquel le VLAN 10 ou le VLAN20 est attribué. Si ces réseaux sont supprimés de la base de données LAN du commutateur, celui-ci désactivera automatiquement le port appartenant au réseau inexistant. En règle générale, le réseau d'une entreprise peut s'effondrer précisément parce que les commutateurs désactivent simplement les ports associés aux VLAN qui ont été supprimés lors de la prochaine mise à jour.
Afin d'éviter qu'un tel problème ne se produise, vous devez définir un nom de domaine et un mot de passe VTP ou utiliser la fonctionnalité Cisco Port Security, qui vous permet de gérer les adresses MAC des ports du commutateur, en introduisant diverses restrictions sur leur utilisation. Par exemple, si quelqu'un d'autre essaie de modifier l'adresse MAC, le port sera immédiatement désactivé. Nous examinerons très prochainement de plus près cette fonctionnalité des commutateurs Cisco, mais pour l'instant tout ce que vous devez savoir, c'est que Port Security vous permet de vous assurer que VTP est protégé contre un attaquant.
Résumons ce qu'est un paramètre VTP. Il s'agit du choix de la version du protocole - 1 ou 2, de l'attribution du mode VTP - serveur, client ou transparent. Comme je l'ai déjà dit, ce dernier mode ne met pas à jour la base de données VLAN de l'appareil lui-même, mais transmet simplement toutes les modifications aux appareils voisins. Voici les commandes permettant d'attribuer un nom de domaine et un mot de passe : vtp domain <domain name> et vtp password <password>.
Parlons maintenant des paramètres de VTP Pruning. Si vous regardez la topologie du réseau, vous pouvez voir que les trois commutateurs ont la même base de données VLAN, ce qui signifie que VLAN10 et VLAN20 font partie des trois commutateurs. Techniquement, le switch SW3 n'a pas besoin du VLAN2 car il ne possède pas de ports appartenant à ce réseau. Cependant, indépendamment de cela, tout le trafic envoyé depuis l'ordinateur Laptop20 via le réseau VLAN0 atteint le commutateur SW20 et de celui-ci passe par le tronc vers les ports SW1. Votre tâche principale en tant que spécialiste des réseaux est de garantir que le moins de données inutiles possible soient transmises sur le réseau. Vous devez vous assurer que les données nécessaires sont transmises, mais comment limiter la transmission d'informations qui ne sont pas nécessaires à l'appareil ?
Vous devez vous assurer que le trafic destiné aux appareils sur VLAN20 ne circule pas vers les ports SW2 via le tronc lorsqu'il n'est pas requis. Autrement dit, le trafic Laptop0 doit atteindre SW1, puis vers les ordinateurs du VLAN20, mais ne doit pas dépasser le port tronc droit de SW1. Ceci peut être réalisé en utilisant VTP Pruning.
Pour ce faire, nous devons accéder aux paramètres du serveur VTP SW0, car comme je l'ai déjà dit, les paramètres VTP ne peuvent être effectués que via le serveur, accédez aux paramètres de configuration globaux et tapez la commande vtp pruning. Étant donné que Packet Tracer n'est qu'un programme de simulation, il n'existe aucune commande de ce type dans ses invites de ligne de commande. Cependant, lorsque je tape l'élagage vtp et que j'appuie sur Entrée, le système me dit que le mode d'élagage vtp n'est pas disponible.
En utilisant la commande show vtp status, nous verrons que le mode VTP Pruning est dans l'état désactivé, nous devons donc le rendre disponible en le déplaçant vers la position d'activation. Cela fait, nous activons le mode VTP Pruning sur les trois commutateurs de notre réseau au sein du domaine réseau.
Laissez-moi vous rappeler ce qu'est VTP Pruning. Lorsque nous activons ce mode, le serveur de commutation SW0 informe le commutateur SW2 que seul le VLAN10 est configuré sur ses ports. Après cela, le commutateur SW2 indique au commutateur SW1 qu'il n'a besoin d'aucun trafic autre que le trafic destiné au VLAN10. Désormais, grâce à VTP Pruning, le commutateur SW1 dispose des informations selon lesquelles il n'a pas besoin d'envoyer le trafic VLAN20 le long du tronc SW1-SW2.
C'est très pratique pour vous en tant qu'administrateur réseau. Vous n'avez pas besoin de saisir manuellement des commandes car le commutateur est suffisamment intelligent pour envoyer exactement ce dont le périphérique réseau spécifique a besoin. Si demain vous installez un autre service marketing dans le bâtiment voisin et connectez son réseau VLAN20 au commutateur SW2, ce commutateur indiquera immédiatement au commutateur SW1 qu'il dispose désormais de VLAN10 et VLAN20 et lui demandera de transférer le trafic pour les deux réseaux. Ces informations sont constamment mises à jour sur tous les appareils, rendant la communication plus efficace.
Il existe une autre façon de spécifier la transmission du trafic : il s'agit d'utiliser une commande qui autorise la transmission de données uniquement pour le VLAN spécifié. Je vais dans les paramètres du switch SW1, où je m'intéresse au port Fa0/4, et saisis les commandes int fa0/4 et switchport trunk autorisé vlan. Puisque je sais déjà que SW2 n'a que VLAN10, je peux dire à SW1 d'autoriser uniquement le trafic de ce réseau sur son port tronc en utilisant la commande vlan autorisée. J'ai donc programmé le port réseau Fa0/4 pour acheminer le trafic uniquement pour le VLAN10. Cela signifie que ce port n'autorisera pas le trafic provenant de VLAN1, VLAN20 ou de tout autre réseau autre que celui spécifié.
Vous vous demandez peut-être ce qu'il est préférable d'utiliser : VTP Pruning ou la commande vlan autorisée. La réponse est subjective car dans certains cas, il est logique d’utiliser la première méthode, et dans d’autres, il est logique d’utiliser la seconde. En tant qu'administrateur réseau, c'est à vous de choisir la meilleure solution. Dans certains cas, la décision de programmer un port pour autoriser le trafic provenant d'un VLAN spécifique peut être bonne, mais dans d'autres, elle peut être mauvaise. Dans le cas de notre réseau, l'utilisation de la commande vlan autorisée peut être justifiée si nous n'allons pas modifier la topologie du réseau. Mais si quelqu'un souhaite ultérieurement ajouter un groupe de périphériques utilisant VLAN2 au SW 20, il serait plus conseillé d'utiliser le mode VTP Pruning.
Ainsi, la configuration de VTP Pruning implique l’utilisation des commandes suivantes. La commande vtp pruning permet une utilisation automatique de ce mode. Si vous souhaitez configurer l'élagage VTP d'un port de jonction pour permettre le passage manuel du trafic d'un VLAN spécifique, utilisez la commande pour sélectionner l'interface du numéro de port de jonction <#>, activez le mode joncteur réseau en mode switchport et autorisez la transmission du trafic. à un réseau spécifique à l'aide de la commande switchport trunk autorisé vlan .
Dans la dernière commande, vous pouvez utiliser 5 paramètres. Tout signifie que la transmission du trafic pour tous les VLAN est autorisée, aucune – la transmission du trafic pour tous les VLAN est interdite. Si vous utilisez le paramètre add, vous pouvez ajouter le débit du trafic pour un autre réseau. Par exemple, nous autorisons le trafic VLAN10, et avec la commande add, nous pouvons également autoriser le passage du trafic VLAN20. La commande Remove permet de supprimer l'un des réseaux, par exemple, si vous utilisez le paramètre Remove 20, seul le trafic VLAN10 restera.
Examinons maintenant le VLAN natif. Nous avons déjà dit que le VLAN natif est un réseau virtuel permettant de faire passer le trafic non balisé via un port tronc spécifique.
J'accède aux paramètres de port spécifiques comme indiqué par l'en-tête de ligne de commande SW(config-if)# et j'utilise la commande switchport trunk native vlan <network number>, par exemple VLAN10. Désormais, tout le trafic sur le VLAN10 passera par le réseau non balisé.
Revenons à la topologie du réseau logique dans la fenêtre Packet Tracer. Si j'utilise la commande switchport trunk native vlan 20 sur le port de commutation Fa0/4, alors tout le trafic sur VLAN20 circulera via le tronc Fa0/4 – SW2 sans balise. Lorsque le commutateur SW2 reçoit ce trafic, il pense : « il s’agit d’un trafic non balisé, ce qui signifie que je dois l’acheminer vers le VLAN natif. » Pour ce switch, le VLAN natif est le réseau VLAN1. Les réseaux 1 et 20 ne sont en aucun cas connectés, mais comme le mode VLAN natif est utilisé, nous avons la possibilité d'acheminer le trafic VLAN20 vers un réseau complètement différent. Cependant, ce trafic ne sera pas encapsulé et les réseaux eux-mêmes doivent toujours correspondre.
Regardons cela avec un exemple. Je vais accéder aux paramètres de SW1 et utiliser la commande switchport trunk native vlan 10. Désormais, tout trafic VLAN10 sortira du port trunk sans étiquette. Lorsqu'il atteint le port de jonction SW2, le commutateur comprendra qu'il doit le transmettre au VLAN1. Suite à cette décision, le trafic ne pourra pas atteindre les ordinateurs PC2, 3 et 4, puisqu'ils sont connectés aux ports d'accès du switch destinés au VLAN10.
Techniquement, cela amènera le système à signaler que le VLAN natif du port Fa0/4, qui fait partie du VLAN10, ne correspond pas au port Fa0/1, qui fait partie du VLAN1. Cela signifie que les ports spécifiés ne pourront pas fonctionner en mode trunk en raison d'une incompatibilité de VLAN natif.
Merci de rester avec nous. Vous aimez nos articles ? Vous voulez voir du contenu plus intéressant ? Soutenez-nous en passant une commande ou en recommandant à vos amis, 30 % de réduction pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme, que nous avons inventé pour vous : (disponible avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher ? Ici seulement aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99$ ! En savoir plus
Source: habr.com