Hoxe continuaremos co noso debate sobre as VLAN e discutiremos o protocolo VTP, así como os conceptos de poda VTP e VLAN nativa. Xa falamos de VTP nun dos vídeos anteriores, e o primeiro que debería vir á cabeza cando escoitas falar de VTP é que non é un protocolo de trunking, a pesar de ser chamado "protocolo de trunking VLAN".
Como sabes, hai dous protocolos de trunking populares: o protocolo propietario de Cisco ISL, que non se usa hoxe en día, e o protocolo 802.q, que se usa en dispositivos de rede de varios fabricantes para encapsular o tráfico de trunking. Este protocolo tamén se usa nos switches Cisco. Xa dixemos que VTP é un protocolo de sincronización VLAN, é dicir, está deseñado para sincronizar a base de datos VLAN en todos os conmutadores de rede.
Mencionamos diferentes modos VTP: servidor, cliente, transparente. Se o dispositivo usa o modo servidor, permítelle facer cambios, engadir ou eliminar VLAN. O modo cliente non lle permite facer cambios na configuración do interruptor, só pode configurar a base de datos VLAN a través do servidor VTP e replicarase en todos os clientes VTP. Un interruptor en modo transparente non fai cambios na súa propia base de datos VLAN, senón que simplemente pasa por si mesmo e transfire os cambios ao seguinte dispositivo en modo cliente. Este modo é semellante a desactivar VTP nun dispositivo específico, converténdoo nun transportador de información de cambio de VLAN.
Volvamos ao programa Packet Tracer e á topoloxía de rede comentada na lección anterior. Configuramos unha rede VLAN10 para o departamento de vendas e unha rede VLAN20 para o departamento de mercadotecnia, combinándoas con tres switches.
Entre os switches SW0 e SW1 a comunicación realízase a través da rede VLAN20, e entre SW0 e SW2 hai comunicación a través da rede VLAN10 debido ao feito de que engadimos VLAN10 á base de datos VLAN do switch SW1.
Para considerar o funcionamento do protocolo VTP, usemos un dos interruptores como servidor VTP, sexa SW0. Se lembras, por defecto todos os interruptores funcionan no modo de servidor VTP. Imos ao terminal da liña de comandos do interruptor e introduza o comando show vtp status. Ves que a versión actual do protocolo VTP é 2 e o número de revisión da configuración é 4. Se o recordas, cada vez que se realizan cambios na base de datos VTP, o número de revisión aumenta nunha unidade.
O número máximo de VLAN admitidas é 255. Este número depende da marca do conmutador de Cisco específico, xa que os diferentes conmutadores poden admitir diferentes números de redes virtuais locais. O número de VLAN existentes é de 7, nun minuto veremos cales son estas redes. O modo de control VTP é servidor, o nome de dominio non está definido, o modo de poda VTP está desactivado, volveremos a isto máis tarde. Os modos de xeración de trampas VTP V2 e VTP tamén están desactivados. Non necesitas saber os dous últimos modos para aprobar o exame CCNA 200-125, así que non te preocupes por eles.
Vexamos a base de datos VLAN usando o comando show vlan. Como xa vimos no vídeo anterior, temos 4 redes non compatibles: 1002, 1003, 1004 e 1005.
Tamén enumera as 2 redes que creamos, VLAN10 e 20, e a rede predeterminada, VLAN1. Agora pasemos a outro interruptor e introduzamos o mesmo comando para ver o estado do VTP. Ves que o número de revisión deste interruptor é 3, está no modo de servidor VTP e toda a outra información é semellante ao primeiro interruptor. Cando entro no comando show VLAN, podo ver que fixemos 2 cambios na configuración, un menos que o interruptor SW0, polo que o número de revisión de SW1 é 3. Fixemos 3 cambios na configuración predeterminada do primeiro. interruptor, polo que o seu número de revisión aumentou a 4.
Agora vexamos o estado de SW2. O número de revisión aquí é 1, o que é estraño. Debemos ter unha segunda revisión porque se fixo 1 cambio de configuración. Vexamos a base de datos VLAN.
Fixemos un cambio, creando VLAN10, e non sei por que non se actualizou esa información. Quizais isto ocorreu porque non temos unha rede real, senón un simulador de rede de software, que pode ter erros. Cando teñas a oportunidade de traballar con dispositivos reais mentres realizas prácticas en Cisco, axudarache máis que o simulador Packet Tracer. Outra cousa útil en ausencia de dispositivos reais sería GNC3, ou un simulador gráfico de rede de Cisco. Este é un emulador que utiliza o sistema operativo real dun dispositivo, como un enrutador. Hai unha diferenza entre un simulador e un emulador: o primeiro é un programa que parece un enrutador real, pero non o é. O software do emulador crea só o propio dispositivo, pero usa software real para operalo. Pero se non tes a capacidade de executar o software Cisco IOS real, Packet Tracer é a túa mellor opción.
Entón, necesitamos configurar SW0 como un servidor VTP, para iso entro no modo de configuración da configuración global e intro o comando vtp versión 2. Como dixen, podemos instalar a versión do protocolo que necesitamos - 1 ou 2, neste caso necesitamos unha segunda versión. A continuación, usando o comando vtp mode, establecemos o modo VTP do switch: servidor, cliente ou transparente. Neste caso, necesitamos o modo servidor e, despois de introducir o comando do servidor do modo vtp, o sistema mostra unha mensaxe de que o dispositivo xa está en modo servidor. A continuación, debemos configurar un dominio VTP, para o que utilizamos o comando vtp domain nwking.org. Por que isto é necesario? Se hai outro dispositivo na rede cun número de revisión superior, todos os demais dispositivos cun número de revisión inferior comezan a replicar a base de datos VLAN desde ese dispositivo. Non obstante, isto só ocorre se os dispositivos teñen o mesmo nome de dominio. Por exemplo, se traballa en nwking.org, indica este dominio, se é Cisco, entón o dominio cisco.com, etc. O nome de dominio dos dispositivos da túa empresa permíteche distinguilos dos dispositivos doutra empresa ou doutros dispositivos externos da rede. Cando asignas o nome de dominio dunha empresa a un dispositivo, faino parte da rede desa empresa.
O seguinte que hai que facer é establecer o contrasinal do VTP. É necesario para que un hacker, que teña un dispositivo cun número de revisión elevado, non poida copiar a súa configuración de VTP no seu interruptor. Intro o contrasinal de cisco usando o comando vtp password cisco. Despois diso, só será posible a replicación de datos VTP entre os interruptores se os contrasinais coinciden. Se se usa un contrasinal incorrecto, a base de datos VLAN non se actualizará.
Tentemos crear algunhas VLAN máis. Para iso, uso o comando config t, uso o comando vlan 200 para crear un número de rede 200, póñolle o nome TEST e gardo os cambios co comando exit. Despois creo outro vlan 500 e chámolle TEST1. Se agora introduce o comando show vlan, na táboa de redes virtuais do switch pode ver estas dúas novas redes, ás que non se lles asigna un só porto.
Pasemos a SW1 e vexamos o seu estado de VTP. Vemos que aquí nada cambiou excepto o nome de dominio, o número de VLAN segue sendo igual a 7. Non vemos aparecer as redes que creamos porque o contrasinal do VTP non coincide. Axustemos o contrasinal VTP neste interruptor introducindo secuencialmente os comandos conf t, vtp pass e vtp password Cisco. O sistema informou de que a base de datos VLAN do dispositivo agora usa o contrasinal de Cisco. Vexamos outra vez o estado do VTP para comprobar se a información foi replicada. Como podes ver, o número de VLAN existentes aumentou automaticamente a 9.
Se miras a base de datos de VLAN deste switch, podes ver que as redes VLAN200 e VLAN500 que creamos apareceron nela automaticamente.
O mesmo debe facerse co último interruptor SW2. Imos introducir o comando show vlan - podes ver que non se produciron cambios nel. Así mesmo, non hai ningún cambio no estado de VTP. Para que este interruptor actualice a información, tamén cómpre configurar un contrasinal, é dicir, introducir os mesmos comandos que para SW1. Despois disto, o número de VLAN en estado SW2 aumentará a 9.
Para iso é VTP. Esta é unha gran cousa que actualiza automaticamente a información en todos os dispositivos da rede cliente despois de que se fagan cambios no dispositivo servidor. Non é necesario facer cambios manualmente na base de datos VLAN de todos os switches; a replicación prodúcese automaticamente. Se tes 200 dispositivos de rede, os cambios que fagas gardaranse nos douscentos dispositivos ao mesmo tempo. Por se acaso, necesitamos asegurarnos de que SW2 tamén é un cliente VTP, así que imos á configuración co comando config t e introduzamos o comando cliente en modo vtp.
Así, na nosa rede só o primeiro interruptor está en modo Servidor VTP, os outros dous funcionan en modo Cliente VTP. Se agora entro na configuración de SW2 e intro o comando vlan 1000, recibirei a mensaxe: "A configuración de VTP VLAN non está permitida cando o dispositivo está en modo cliente". Polo tanto, non podo facer ningún cambio na base de datos VLAN se o interruptor está no modo cliente VTP. Se quero facer algún cambio, teño que ir ao servidor de cambio.
Vou á configuración do terminal SW0 e intro os comandos vlan 999, nomeo IMRAN e saio. Esta nova rede apareceu na base de datos VLAN deste switch, e se agora vou á base de datos do switch cliente SW2, verei que apareceu aquí a mesma información, é dicir, produciuse a replicación.
Como dixen, VTP é un gran software, pero se se usa incorrectamente, pode perturbar toda unha rede. Polo tanto, cómpre ter moito coidado ao manexar a rede da empresa se o nome de dominio e o contrasinal VTP non están definidos. Neste caso, o único que ten que facer o hacker é enchufar o cable do seu interruptor a unha toma de rede da parede, conectarse a calquera conmutador de oficina mediante o protocolo DTP e despois, mediante o tronco creado, actualizar toda a información mediante o protocolo VTP. . Deste xeito, un hacker pode eliminar todas as VLAN importantes, aproveitando que o número de revisión do seu dispositivo é superior ao número de revisión doutros switches. Neste caso, os interruptores da empresa substituirán automaticamente toda a información da base de datos de VLAN coa información replicada desde o interruptor malicioso e toda a súa rede colapsará.
Isto débese ao feito de que os ordenadores están conectados mediante un cable de rede a un porto de conmutador específico ao que se lle asigna VLAN 10 ou VLAN20. Se se eliminan estas redes da base de datos LAN do switch, desactivarase automaticamente o porto pertencente á rede inexistente. Normalmente, a rede dunha empresa pode colapsar precisamente porque os interruptores simplemente desactivan os portos asociados ás VLAN que foron eliminadas durante a próxima actualización.
Para evitar que ocorra tal problema, cómpre establecer un nome de dominio VTP e un contrasinal ou utilizar a función Cisco Port Security, que permite xestionar os enderezos MAC dos portos de conmutación, introducindo varias restricións ao seu uso. Por exemplo, se outra persoa tenta cambiar o enderezo MAC, o porto caerá inmediatamente. Pronto estaremos atentos a esta función dos conmutadores de Cisco, pero polo momento todo o que precisa saber é que Port Security permítelle asegurarse de que o VTP está protexido contra un atacante.
Imos resumir o que é unha configuración VTP. Esta é a elección da versión do protocolo - 1 ou 2, a asignación do modo VTP - servidor, cliente ou transparente. Como xa dixen, este último modo non actualiza a base de datos VLAN do propio dispositivo, senón que simplemente transmite todos os cambios aos dispositivos veciños. Os seguintes son os comandos para asignar un nome de dominio e un contrasinal: vtp domain <nome de dominio> e vtp password <contrasinal>.
Agora imos falar sobre a configuración de poda VTP. Se observas a topoloxía da rede, podes ver que os tres switches teñen a mesma base de datos de VLAN, o que significa que VLAN10 e VLAN20 forman parte dos tres switches. Tecnicamente, o switch SW3 non precisa VLAN2 porque non ten portos pertencentes a esta rede. Non obstante, independentemente diso, todo o tráfico enviado desde o ordenador Laptop20 a través da rede VLAN0 chega ao conmutador SW20 e desde el pasa polo tronco ata os portos SW1. A súa tarefa principal como especialista en redes é asegurarse de que se transmitan a menor cantidade posible de datos innecesarios pola rede. Debes asegurarte de que se transmiten os datos necesarios, pero como podes limitar a transmisión de información que o dispositivo non necesita?
Debe asegurarse de que o tráfico destinado a dispositivos en VLAN20 non flúe aos portos SW2 a través do tronco cando non sexa necesario. É dicir, o tráfico de Laptop0 debería chegar ao SW1 e despois aos ordenadores en VLAN20, pero non debería ir máis aló do porto troncal dereito do SW1. Isto pódese conseguir usando VTP Pruning.
Para iso, temos que ir á configuración do servidor VTP SW0, xa que como xa dixen, a configuración de VTP só se pode facer a través do servidor, ir á configuración global e escribir o comando vtp pruning. Dado que Packet Tracer é só un programa de simulación, non hai tal comando nas súas solicitudes de liña de comandos. Non obstante, cando escribo vtp pruning e premo Intro, o sistema dime que o modo de poda vtp non está dispoñible.
Usando o comando show vtp status, veremos que o modo de poda VTP está no estado desactivado, polo que hai que poñelo dispoñible movéndoo á posición de activación. Feito isto, activamos o modo de poda VTP nos tres conmutadores da nosa rede dentro do dominio da rede.
Permíteme recordarche o que é a poda VTP. Cando activamos este modo, o servidor de conmutadores SW0 informa ó switch SW2 de que só se configura VLAN10 nos seus portos. Despois diso, o interruptor SW2 indica ao interruptor SW1 que non necesita ningún tráfico que non sexa o tráfico destinado a VLAN10. Agora, grazas a VTP Pruning, o switch SW1 ten a información de que non precisa enviar tráfico VLAN20 ao longo do tronco SW1-SW2.
Isto é moi cómodo para vostede como administrador de rede. Non tes que introducir comandos manualmente porque o interruptor é o suficientemente intelixente como para enviar exactamente o que precisa o dispositivo de rede específico. Se mañá colocas outro departamento de mercadotecnia no seguinte edificio e conectas a súa rede VLAN20 para cambiar a SW2, ese interruptor dirá inmediatamente ao interruptor SW1 que agora ten VLAN10 e VLAN20 e pedirá que reenvíe o tráfico para ambas as redes. Esta información actualízase constantemente en todos os dispositivos, o que fai que a comunicación sexa máis eficiente.
Hai outra forma de especificar a transmisión de tráfico: é usar un comando que permita a transmisión de datos só para a VLAN especificada. Vou á configuración do switch SW1, onde estou interesado no porto Fa0/4, e intro os comandos int fa0/4 e switchport trunk allowed vlan. Como xa sei que SW2 só ten VLAN10, podo dicirlle a SW1 que permita só o tráfico para esa rede no seu porto troncal usando o comando vlan permitido. Entón, programei o porto troncal Fa0/4 para transportar tráfico só para VLAN10. Isto significa que este porto non permitirá máis tráfico desde VLAN1, VLAN20 ou calquera outra rede que non sexa a especificada.
Podes estar a se preguntar cal é mellor usar: poda VTP ou o comando vlan permitido. A resposta é subxectiva porque nalgúns casos ten sentido utilizar o primeiro método, e noutros ten sentido utilizar o segundo. Como administrador de rede, depende de ti escoller a mellor solución. Nalgúns casos, a decisión de programar un porto para permitir o tráfico dunha VLAN específica pode ser boa, pero noutros pode ser mala. No caso da nosa rede, o uso do comando vlan permitido pode estar xustificado se non imos cambiar a topoloxía da rede. Pero se despois alguén quere engadir un grupo de dispositivos usando VLAN2 a SW 20, sería máis recomendable usar o modo de poda VTP.
Entón, configurar VTP Pruning implica usar os seguintes comandos. O comando vtp pruning proporciona o uso automático deste modo. Se quere configurar a poda VTP dun porto troncal para permitir que o tráfico dunha VLAN específica pase manualmente, use o comando para seleccionar a interface do número de porto troncal <#>, habilite o tronco do modo de switchport do modo troncal e permita a transmisión do tráfico. a unha rede específica mediante o comando vlan permitido trunk port switch .
No último comando podes usar 5 parámetros. Todo significa que a transmisión de tráfico para todas as VLAN está permitida, ningunha: a transmisión de tráfico para todas as VLAN está prohibida. Se utiliza o parámetro add, pode engadir o fluxo de tráfico para outra rede. Por exemplo, permitimos o tráfico VLAN10 e co comando add tamén podemos permitir que o tráfico VLAN20 pase. O comando remove permítelle eliminar unha das redes, por exemplo, se usa o parámetro remove 20, só permanecerá o tráfico VLAN10.
Agora vexamos a VLAN nativa. Xa dixemos que a VLAN nativa é unha rede virtual para pasar tráfico sen etiquetar a través dun porto troncal específico.
Intro na configuración específica do porto, tal e como indica a cabeceira da liña de comandos SW(config-if)# e uso o comando switchport trunk vlan nativo <número de rede>, por exemplo VLAN10. Agora todo o tráfico da VLAN10 pasará polo tronco sen etiquetar.
Volvamos á topoloxía da rede lóxica na xanela de Packet Tracer. Se uso o comando switchport trunk native vlan 20 no porto do switch Fa0/4, entón todo o tráfico en VLAN20 fluirá polo tronco Fa0/4 - SW2 sen etiquetar. Cando o switch SW2 reciba este tráfico, pensará: "Este é tráfico sen etiquetar, o que significa que debería dirixilo á VLAN nativa". Para este interruptor, a VLAN nativa é a rede VLAN1. As redes 1 e 20 non están conectadas de ningún xeito, pero como se usa o modo VLAN nativo, temos a oportunidade de enrutar o tráfico VLAN20 a unha rede completamente diferente. Non obstante, este tráfico non estará encapsulado e as propias redes aínda deben coincidir.
Vexamos isto cun exemplo. Entrarei na configuración de SW1 e usarei o comando switchport trunk native vlan 10. Agora calquera tráfico VLAN10 sairá do porto troncal sen etiquetar. Cando chegue ao porto troncal SW2, o switch entenderá que debe reenvialo á VLAN1. Como consecuencia desta decisión, o tráfico non poderá chegar aos ordenadores PC2, 3 e 4, xa que están conectados aos portos de acceso de switch destinados á VLAN10.
Tecnicamente, isto fará que o sistema informe de que a VLAN nativa do porto Fa0/4, que forma parte da VLAN10, non coincide co porto Fa0/1, que forma parte da VLAN1. Isto significa que os portos especificados non poderán funcionar no modo troncal debido a unha falta de coincidencia na VLAN.
Grazas por estar connosco. Gústanche os nosos artigos? Queres ver máis contido interesante? Apóyanos facendo un pedido ou recomendando a amigos, Desconto do 30 % para os usuarios de Habr nun análogo único de servidores de nivel de entrada, que inventamos nós para ti: (dispoñible con RAID1 e RAID10, ata 24 núcleos e ata 40 GB DDR4).
Dell R730xd 2 veces máis barato? Só aquí nos Países Baixos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - desde $ 99! Ler sobre
Fonte: www.habr.com