Aujourd'hui, nous examinerons le protocole de trunking dynamique DTP et le protocole de trunking VTP - VLAN. Comme je l'ai dit dans la leçon précédente, nous suivrons les sujets de l'examen ICND2 dans l'ordre dans lequel ils apparaissent sur le site Web de Cisco.
La dernière fois, nous avons examiné le point 1.1, et aujourd'hui nous examinerons le 1.2 - configuration, vérification et dépannage des connexions des commutateurs réseau : ajout et suppression de VLAN du tronc et protocoles DTP et VTP versions 1 et 2.
Tous les ports de commutation prêts à l'emploi sont configurés par défaut pour utiliser le mode Dynamic Auto du protocole DTP. Cela signifie que lorsque deux ports de commutateurs différents sont connectés, une jonction est automatiquement activée entre eux si l'un des ports est en mode jonction ou souhaitable. Si les ports des deux commutateurs sont en mode Dynamic Auto, aucune jonction n'est formée.
Ainsi, tout dépend du réglage des modes de fonctionnement de chacun des 2 interrupteurs. Pour faciliter la compréhension, j'ai réalisé un tableau des combinaisons possibles de modes PAO de deux commutateurs. Vous pouvez voir que si les deux commutateurs utilisent Dynamic Auto, ils ne formeront pas de tronc, mais resteront en mode Accès. Par conséquent, si vous souhaitez créer une ligne réseau entre deux commutateurs, vous devez alors programmer au moins un des commutateurs en mode Trunk ou programmer le port Trunk pour utiliser le mode Dynamic Desirable. Comme le montre le tableau, chacun des ports du commutateur peut être dans l'un des 4 modes suivants : Accès, Dynamic Auto, Dynamic Desirable ou Trunk.
Si les deux ports sont définis sur Access, les commutateurs connectés utiliseront le mode Access. Si un port est défini sur Dynamic Auto et l’autre sur Access, les deux fonctionneront en mode Access. Si un port fonctionne en mode Accès et l'autre en mode Trunk, les commutateurs ne peuvent pas être connectés, donc cette combinaison de modes ne peut pas être utilisée.
Ainsi, pour que le trunking fonctionne, il est nécessaire que l'un des ports du commutateur soit programmé pour Trunk et l'autre pour Trunk, Dynamic Auto ou Dynamic Desirable. Une ligne réseau est également formée si les deux ports sont définis sur Dynamic Desirable.
La différence entre Dynamic Desirable et Dynamic Auto est que dans le premier mode, le port lui-même lance le tronc en envoyant des trames DTP au port du deuxième commutateur. Dans le deuxième mode, le port du commutateur attend que quelqu'un commence à lui parler, et si les ports des deux commutateurs sont définis sur Dynamic Auto, une ligne réseau ne se formera jamais entre eux. Dans le cas de Dynamic Desirable, il existe une situation inverse : si les deux ports sont configurés pour ce mode, une jonction est nécessairement formée entre eux.
Je vous conseille de retenir ce tableau, car il vous aidera à configurer correctement les commutateurs connectés les uns aux autres. Regardons cet aspect dans Packet Tracer. J'ai connecté 3 commutateurs en série et je vais maintenant afficher les fenêtres de la console CLI pour chacun de ces appareils.
Si j'entre la commande show int trunk, nous ne verrons aucun tronc, ce qui est tout à fait naturel en l'absence des paramètres nécessaires, puisque tous les commutateurs sont réglés sur le mode Dynamic Auto. Si je vous demande d'afficher les paramètres de l'interface f0/1 du commutateur central, vous verrez que le paramètre Dynamic Auto est répertorié dans le mode paramètres administratifs.
Les troisième et premier commutateurs ont des paramètres similaires - ils ont également le port f0/1 en mode automatique dynamique. Si vous vous souvenez du tableau, pour le trunking, tous les ports doivent être en mode trunk, ou l'un des ports doit être en mode Dynamic Desirable.
Passons aux paramètres du premier switch SW0 et configurons le port f0/1. Après avoir entré la commande de mode switchport, le système vous demandera les options de mode possibles : accès, dynamique ou réseau réseau. J'utilise la commande souhaitable dynamique du mode switchport, et vous pouvez remarquer comment le port tronc f0 / 1 du deuxième commutateur, après avoir entré cette commande, est d'abord passé à l'état inactif, puis, après avoir reçu la trame DTP du premier commutateur, est passé à l'état haut.
Si nous entrons maintenant la commande show int trunk dans la console CLI du commutateur SW1, nous verrons que le port f0/1 est dans l'état trunking. J'entre la même commande dans la console du commutateur SW1 et vois les mêmes informations, c'est-à-dire qu'une ligne réseau est maintenant installée entre les commutateurs SW0 et SW1. Dans ce cas, le port du premier commutateur est en mode souhaitable et le port du second est en mode automatique.
Il n'y a aucune connexion entre les deuxième et troisième commutateurs, je vais donc dans les paramètres du troisième commutateur et j'entre la commande dynamique souhaitable en mode switchport. Vous pouvez voir que les mêmes changements d'état down-up se sont produits dans le deuxième commutateur, seulement maintenant ils concernent le port f0/2, auquel le 3ème commutateur est connecté. Désormais, le deuxième commutateur dispose de deux lignes réseau : une sur l'interface f0/1, la seconde sur f0/2. Cela peut être vu en utilisant la commande show int trunk.
Les deux ports du deuxième commutateur sont à l'état automatique, c'est-à-dire que pour le trunking avec les commutateurs voisins, il est nécessaire que leurs ports soient en mode trunk ou souhaitable, car dans ce cas il n'y a que 2 modes pour configurer un trunk. A l'aide du tableau, vous pouvez toujours configurer les ports du switch de manière à organiser un trunk entre eux. C’est l’essence même de l’utilisation du protocole de liaison dynamique DTP.
Commençons par le VLAN Trunking Protocol, ou VTP. Ce protocole assure la synchronisation des bases de données VLAN de différents périphériques réseau, effectuant le transfert de la base de données VLAN mise à jour d'un périphérique à un autre. Revenons à notre schéma de 3 commutateurs. VTP peut fonctionner selon 3 modes : serveur, client et transparent. VTP v3 a un autre mode appelé Off, mais seuls VTP vXNUMX et vXNUMX sont couverts par l'examen Cisco.
Le mode serveur est utilisé pour créer de nouveaux VLAN, supprimer ou modifier des réseaux via la ligne de commande du commutateur. En mode client, aucune opération ne peut être effectuée sur les VLAN ; dans ce mode, seule la base de données VLAN est mise à jour depuis le serveur. Le mode transparent agit comme si le protocole VTP était désactivé, c'est-à-dire que le commutateur n'émet pas ses propres messages VTP, mais transmet les mises à jour d'autres commutateurs - si une mise à jour arrive sur l'un des ports du commutateur, il la transmet par lui-même et l'envoie. il continue à travers le réseau via un autre port. En mode transparent, le commutateur sert simplement d'émetteur de messages d'autres personnes sans mettre à jour sa propre base de données VLAN.
Sur cette diapositive, vous voyez les commandes de configuration du protocole VTP saisies en mode de configuration globale. Avec la première commande, vous pouvez modifier la version du protocole utilisée. La deuxième commande sélectionne le mode de fonctionnement VTP.
Si vous souhaitez créer un domaine VTP, utilisez la commande vtp domain <domain name> et pour définir un mot de passe VTP, utilisez la commande vtp password <PASSWORD>. Allons à la console CLI du premier commutateur et examinons l'état du VTP en entrant la commande show vtp status.
Vous voyez que la version du protocole VTP est la deuxième, le nombre maximum de VLAN pris en charge est de 255, le nombre de VLAN existants est de 5 et le mode de fonctionnement du VLAN est serveur. Ce sont tous des paramètres par défaut. Nous avons déjà discuté du VTP dans la leçon du Jour 30, donc si vous avez oublié quelque chose, vous pouvez revenir en arrière et revoir cette vidéo.
Afin de voir la base de données VLAN, j'entre la commande show vlan brief. Voici les VLAN1 et VLAN1002-1005. Par défaut, toutes les interfaces de commutateur gratuites sont connectées au premier réseau - 23 ports Fast Ethernet et 2 ports Gigabit Ethernet, les 4 VLAN restants ne sont pas pris en charge. Les bases de données VLAN des deux autres commutateurs se ressemblent exactement, sauf que SW1 n'a pas 23, mais 22 ports Fast Ethernet libres pour les VLAN, puisque f0/1 et f0/2 sont occupés par des trunks. Permettez-moi de vous rappeler encore une fois ce qui a été dit dans la leçon du jour 30 : le protocole VTP ne prend en charge que la mise à jour des bases de données VLAN.
Si je configure plusieurs ports pour fonctionner avec des VLAN avec les commandes d'accès switchport et d'accès en mode switchport VLAN10, VLAN20 ou VLAN30, la configuration de ces ports ne sera pas répliquée par VTP car VTP met uniquement à jour la base de données VLAN.
Ainsi, si l'un des ports SW1 est configuré pour fonctionner avec le VLAN20, mais que ce réseau ne figure pas dans la base de données VLAN, alors le port sera désactivé. À son tour, la mise à jour des bases de données se produit uniquement lors de l'utilisation du protocole VTP.
Avec la commande show vtp status, je vois que les 3 commutateurs sont désormais en mode serveur. Je vais mettre le commutateur du milieu SW1 en mode transparent avec la commande transparente du mode vtp, et le troisième commutateur SW2 en mode client avec la commande client du mode vtp.
Revenons maintenant au premier commutateur SW0 et créons le domaine nwking.org à l'aide de la commande vtp domain <domain name>. Si vous regardez maintenant l'état VTP du deuxième commutateur, qui est en mode transparent, vous pouvez voir qu'il n'a en aucune façon réagi à la création du domaine - le champ Nom de domaine VTP est resté vide. Cependant, le troisième switch, qui est en mode client, a mis à jour sa base de données et porte désormais le nom de domaine VTP-nwking.org. Ainsi, la mise à jour de la base de données du commutateur SW0 passait par SW1 et se reflétait dans SW2.
Maintenant, je vais essayer de changer le nom de domaine donné, pour lequel je vais accéder aux paramètres SW0 et taper la commande vtp domain NetworKing. Comme vous pouvez le constater, cette fois, il n'y a pas eu de mise à jour : le nom de domaine VTP sur le troisième commutateur est resté le même. Le fait est qu'une telle mise à jour du nom de domaine n'a lieu qu'une seule fois, lorsque le domaine par défaut change. Si par la suite le nom de domaine VTP change à nouveau, il devra être modifié manuellement sur les commutateurs restants.
Je vais maintenant créer un nouveau réseau VLAN100 dans la console CLI du premier commutateur et le nommer IMRAN. Il est apparu dans la base de données VLAN du premier commutateur, mais n'apparaît pas dans la base de données du troisième commutateur, car il s'agit de domaines différents. N'oubliez pas que la mise à jour de la base de données VLAN n'a lieu que si les deux commutateurs ont le même domaine ou, comme je l'ai montré précédemment, qu'un nouveau nom de domaine est défini à la place du nom par défaut.
Je vais dans les paramètres du 3ème commutateur et saisis séquentiellement les commandes NetworKing du mode vtp et du domaine vtp. Veuillez noter que la saisie du nom est sensible à la casse, l'orthographe du nom de domaine doit donc être exactement la même pour les deux commutateurs. Maintenant, je remets SW2 en mode client avec la commande client en mode vtp. Voyons ce qui se passe. Comme vous pouvez le voir, maintenant, lorsque le nom de domaine correspond, la base de données SW2 a été mise à jour et un nouveau réseau VLAN100 IMRAN y est apparu, et ces changements n'ont en aucun cas affecté le commutateur central, car il est en mode transparent.
Si vous souhaitez vous protéger contre les accès non autorisés, vous pouvez créer un mot de passe VTP. Cependant, vous devez être sûr que l'appareil de l'autre côté aura exactement le même mot de passe, car ce n'est que dans ce cas qu'il pourra recevoir les mises à jour VTP.
La prochaine chose que nous examinerons est l'élagage VTP, ou l'élagage des VLAN inutilisés. Si vous disposez de 100 appareils VTP sur votre réseau, la mise à jour de la base de données VLAN d'un appareil sera automatiquement répliquée sur les 99 autres appareils. Cependant, tous ces appareils ne disposent pas des VLAN mentionnés dans la mise à jour, donc les informations les concernant peuvent ne pas être nécessaires.
L'envoi de mises à jour de la base de données VLAN aux appareils à l'aide de VTP signifie que tous les ports de tous les appareils recevront des informations sur les VLAN ajoutés, supprimés et modifiés avec lesquels ils n'ont peut-être rien à voir. Dans ce cas, le réseau est encombré par un trafic excessif. Pour éviter que cela ne se produise, le concept de « rognage » VTP est utilisé. Afin d'activer le mode « élagage » des VLAN non pertinents sur le commutateur, utilisez la commande vtp pruning. Après cela, les commutateurs se diront automatiquement quels VLAN ils utilisent réellement, avertissant ainsi les voisins qu'ils n'ont pas besoin d'envoyer des mises à jour aux réseaux qui ne leur sont pas connectés.
Par exemple, si SW2 ne dispose d'aucun port VLAN10, il n'a pas besoin de SW1 pour lui envoyer du trafic pour ce réseau. Dans le même temps, le commutateur SW1 a besoin du trafic VLAN10, car l'un de ses ports est connecté à ce réseau, il n'a tout simplement pas besoin d'envoyer ce trafic au commutateur SW2.
Par conséquent, si SW2 utilise le mode d'élagage VTP, il indique à SW1 : "Veuillez ne pas m'envoyer de trafic pour VLAN10 car ce réseau ne m'est pas connecté et aucun de mes ports n'est configuré pour fonctionner avec ce réseau." C'est ce que donne la commande vtp pruning.
Il existe une autre façon de filtrer le trafic pour une interface spécifique. Il permet de configurer un port sur un trunk avec un VLAN spécifique. L'inconvénient de cette méthode est la nécessité de configurer manuellement chaque port de jonction, qui devra spécifier quels VLAN sont autorisés et lesquels sont interdits. Pour cela, une séquence de 3 commandes est utilisée. Le premier spécifie l'interface affectée par ces restrictions, le deuxième transforme cette interface en port de jonction et le troisième - switchport trunk autorisé vlan <all/none/add/remove/VLAN number> - montre quel VLAN est autorisé sur ce port : tous, aucun, le VLAN à ajouter ou le VLAN à supprimer.
En fonction de la situation spécifique, vous choisissez quoi utiliser : élagage VTP ou tronc autorisé. Certaines organisations choisissent de ne pas utiliser VTP pour des raisons de sécurité et choisissent donc de configurer manuellement les liaisons. Étant donné que la commande vtp pruning ne fonctionne pas dans Packet Tracer, je vais l'afficher dans l'émulateur GNS3.
Si vous allez dans les paramètres SW2 et entrez la commande vtp pruning, le système signalera immédiatement que ce mode est activé : Pruning activé, c'est-à-dire que la « coupe » VLAN est activée avec une seule commande.
Si nous tapons la commande show vtp status, nous verrons que le mode d'élagage vtp est activé.
Si vous configurez ce mode sur un serveur switch, accédez à ses paramètres et entrez la commande vtp pruning. Cela signifie que les appareils connectés au serveur utiliseront automatiquement l'élagage VTP pour minimiser le trafic trunking pour les VLAN non pertinents.
Si vous ne souhaitez pas utiliser ce mode, vous devez vous connecter à une interface spécifique, telle que e0/0, puis émettre la commande switchport trunk autorisé vlan. Le système vous demandera les options possibles pour cette commande :
— WORD — Numéro de VLAN qui sera autorisé sur cette interface en mode trunk ;
- add - VLAN à ajouter à la liste de la base de données VLAN ;
— all — autorise tous les VLAN ;
- except - autorise tous les VLAN sauf ceux spécifiés ;
— aucun — désactivez tous les VLAN ;
— supprimer : supprime un VLAN de la liste de la base de données VLAN.
Par exemple, si nous avons une jonction autorisée pour le VLAN10 et que nous voulons l'autoriser pour le VLAN20, nous devons alors entrer la commande switchport trunk autorisé vlan add 20.
Je veux vous montrer autre chose, j'utilise donc la commande show interface trunk. Veuillez noter que par défaut, tous les VLAN 1 à 1005 étaient autorisés pour le tronc, et que maintenant le VLAN10 y a également été ajouté.
Si j'utilise la commande switchport trunk Allowed vlan add 20 et que je demande à nouveau d'afficher l'état du trunking, nous verrons que deux réseaux sont désormais autorisés pour le trunk - VLAN10 et VLAN20.
Dans le même temps, aucun autre trafic, à l'exception de ceux destinés aux réseaux spécifiés, ne pourra transiter par ce tronçon. En autorisant le trafic uniquement pour les VLAN 10 et VLAN 20, nous avons refusé le trafic pour tous les autres VLAN. Voici comment configurer manuellement les paramètres de jonction pour un VLAN spécifique sur une interface de commutateur spécifique.
Veuillez noter que jusqu'au 17 novembre 2017 en fin de journée, nous bénéficions d'une réduction de 90 % sur le coût de téléchargement d'un travail de laboratoire sur ce sujet sur notre site Internet.
Merci de votre attention et rendez-vous pour le prochain tutoriel vidéo !
Merci de rester avec nous. Vous aimez nos articles ? Vous voulez voir du contenu plus intéressant ? Soutenez-nous en passant une commande ou en recommandant à vos amis, 30 % de réduction pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme, que nous avons inventé pour vous : (disponible avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher ? Ici seulement aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99$ ! En savoir plus
Source: habr.com