Hoxe veremos o protocolo de trunking dinámico DTP e VTP - protocolo de trunking VLAN. Como dixen na última lección, seguiremos os temas do exame ICND2 na orde en que aparecen no sitio web de Cisco.
A última vez que analizamos o punto 1.1, e hoxe veremos o 1.2: configuración, comprobación e resolución de problemas de conexións de conmutadores de rede: engadir e eliminar VLAN do tronco e dos protocolos DTP e VTP versións 1 e 2.
Todos os portos de conmutador están configurados por defecto para usar o modo automático dinámico do protocolo DTP. Isto significa que cando se conectan dous portos de conmutadores diferentes, un tronco activarase automaticamente entre eles se un dos portos está en modo troncal ou desexable. Se os portos de ambos os interruptores están en modo automático dinámico, o tronco non está formado.
Así, todo depende de configurar os modos de funcionamento de cada un dos 2 interruptores. Para facilitar a comprensión, fixen unha táboa de posibles combinacións de modos DTP de dous interruptores. Ves que se ambos os interruptores usan Dynamic Auto, non formarán un tronco, pero permanecerán no modo de acceso. Polo tanto, se queres que se cree un troncal entre dous interruptores, debes programar polo menos un dos interruptores no modo Trunk ou programar o porto troncal para que utilice o modo Dynamic Desirable. Como se pode ver na táboa, cada un dos portos de conmutación pode estar nun dos 4 modos: Acceso, Auto dinámico, Desexable dinámico ou Troncal.
Se ambos os portos están configurados para o acceso, os interruptores conectados usarán o modo de acceso. Se un porto está configurado para Auto dinámico e o outro para Acceso, ambos funcionarán no modo Acceso. Se un porto funciona en modo Acceso e outro en modo Trunk, non será posible conectar os interruptores, polo que non se pode utilizar esta combinación de modos.
Polo tanto, para que o trunking funcione, é necesario que un dos portos de conmutador estea programado para Trunk e o outro para Trunk, Dynamic Auto ou Dynamic Desirable. Tamén se forma un tronco se ambos os portos están configurados para Dinámico Desexable.
A diferenza entre Dynamic Desirable e Dynamic Auto é que no primeiro modo, o propio porto inicia o tronco, enviando cadros DTP ao porto do segundo switch. No segundo modo, o porto do conmutador agarda ata que alguén comece a comunicarse con el, e se os portos de ambos os conmutadores están configurados en Auto dinámico, nunca se forma un tronco entre eles. No caso de Dynamic Desirable, a situación é a contraria: se ambos portos están configurados para este modo, necesariamente formarase un tronco entre eles.
Aconsélloche lembrar esta táboa, xa que che axudará a configurar correctamente os interruptores conectados entre si. Vexamos este aspecto no programa Packet Tracer. Conectei 3 interruptores en serie e agora amosarei na pantalla as fiestras da consola CLI para cada un destes dispositivos.
Se introduzo o comando show int trunk, non veremos ningún tronco, o que é completamente natural a falta da configuración necesaria, xa que todos os interruptores están configurados para o modo automático dinámico. Se pido mostrar os parámetros da interface f0/1 do interruptor central, verá que no modo de configuración administrativa aparece o parámetro automático dinámico.
O terceiro e primeiro interruptor teñen axustes similares: tamén teñen o porto f0/1 en modo automático dinámico. Se lembras a táboa, para a conexión troncal todos os portos deben estar en modo troncal ou un dos portos debe estar en modo Dinámico desexable.
Imos á configuración do primeiro interruptor SW0 e configure o porto f0/1. Despois de introducir o comando de modo switchport, o sistema pediralle os posibles parámetros do modo: acceso, dinámico ou troncal. Eu uso o comando dinámico do modo switchport e podes notar como o porto troncal f0/1 do segundo interruptor, despois de ingresar este comando, pasou primeiro ao estado inactivo e despois, despois de recibir o marco DTP do primeiro interruptor, pasou ao estado superior.
Se agora introducimos o comando show int trunk na consola CLI do switch SW1, veremos que o porto f0/1 está no estado de trunking. Introduzo o mesmo comando na consola do interruptor SW1 e vexo a mesma información, é dicir, agora está instalado un tronco entre os interruptores SW0 e SW1. Neste caso, o porto do primeiro interruptor está en modo desexable e o porto do segundo está en modo automático.
Non hai conexión entre o segundo e o terceiro interruptor, polo que vou á configuración do terceiro interruptor e intro no comando switchport modo dinámico desexable. Ves que no segundo interruptor ocorreron os mesmos cambios de estado descendente, só que agora tocan o porto f0/2, ao que está conectado o interruptor 3. Agora o segundo interruptor ten dous troncos: un na interface f0/1, o segundo en f0/2. Isto pódese ver se usa o comando show int trunk.
Os dous portos do segundo interruptor están en estado automático, é dicir, para a conexión con interruptores veciños, os seus portos deben estar en modo troncal ou desexable, porque neste caso só hai 2 modos para establecer un tronco. Usando a táboa, sempre pode configurar os portos de conmutación de forma que se organice un tronco entre eles. Esta é a esencia do uso do protocolo de trunking dinámico DTP.
Comecemos a ver o protocolo de trunking VLAN ou VTP. Este protocolo garante a sincronización das bases de datos VLAN de diferentes dispositivos de rede, realizando a transferencia da base de datos VLAN actualizada dun dispositivo a outro. Volvemos ao noso circuíto de 3 interruptores. VTP pode funcionar en 3 modos: servidor, cliente e transparente. VTP v3 ten outro modo chamado Desactivado, pero o exame de Cisco cobre só as versións XNUMX e XNUMX de VTP.
O modo de servidor úsase para crear novas VLAN, eliminar ou cambiar redes a través da liña de comandos do switch. No modo cliente, non se poden realizar operacións en VLAN; neste modo, só se actualiza a base de datos VLAN desde o servidor. O modo transparente actúa como se o protocolo VTP estivese desactivado, é dicir, o conmutador non emite as súas propias mensaxes VTP, senón que transmite actualizacións doutros conmutadores; se chega unha actualización a un dos portos do conmutador, pásaa por si mesmo e envía máis a través da rede a través doutro porto . No modo transparente, o interruptor simplemente serve como transmisor de mensaxes doutras persoas sen actualizar a súa propia base de datos VLAN.
Nesta diapositiva ves os comandos de configuración do protocolo VTP introducidos no modo de configuración global. O primeiro comando pode cambiar a versión do protocolo utilizada. O segundo comando selecciona o modo operativo VTP.
Se quere crear un dominio VTP, use o comando vtp domain <nome de dominio> e, para establecer o contrasinal VTP, debe introducir o comando vtp password <CONTRASEÑA>. Imos á consola CLI do primeiro interruptor e vexamos o estado de VTP introducindo o comando show vtp status.
Ves que a versión do protocolo VTP é a segunda, o número máximo de VLAN compatibles é 255, o número de VLAN existentes é 5 e o modo operativo de VLAN é servidor. Estas son todas as opcións predeterminadas. Xa falamos de VTP na lección do día 30, así que se esqueciches algo, podes volver e ver este vídeo de novo.
Para ver a base de datos VLAN, emito o comando show vlan brief. VLAN1 e VLAN1002-1005 móstranse aquí. Por defecto, todas as interfaces libres do switch están conectadas á primeira rede: 23 portos Fast Ethernet e 2 portos Gigabit Ethernet, as 4 VLAN restantes non son compatibles. As bases de datos VLAN dos outros dous switches teñen exactamente o mesmo aspecto, agás que SW1 non ten 23, senón 22 portos Fast Ethernet libres para VLAN, xa que f0/1 e f0/2 están ocupados por troncos. Permíteme recordarche unha vez máis o que se falou na lección "Día 30": o protocolo VTP só admite a actualización de bases de datos VLAN.
Se configuro varios portos para usar VLAN cos comandos de acceso switchport e switchport mode access VLAN10, VLAN20 ou VLAN30, a configuración deses portos non será replicada por VTP porque VTP só actualiza a base de datos VLAN.
Polo tanto, se un dos portos SW1 está configurado para funcionar con VLAN20, pero esta rede non está na base de datos VLAN, o porto desactivarase. Á súa vez, as actualizacións da base de datos só ocorren cando se utiliza o protocolo VTP.
Usando o comando show vtp status, vexo que os 3 interruptores están agora en modo servidor. Cambiarei o interruptor central SW1 ao modo transparente co comando vtp mode transparent e o terceiro interruptor SW2 ao modo cliente co comando vtp mode client.
Agora volvamos ao primeiro interruptor SW0 e creemos o dominio nwking.org usando o comando vtp domain <domain name>. Se miras agora o estado VTP do segundo interruptor, que está en modo transparente, podes ver que non reaccionou de ningún xeito á creación do dominio: o campo Nome de dominio VTP permaneceu baleiro. Non obstante, o terceiro interruptor, que está en modo cliente, actualizou a súa base de datos e agora ten o nome de dominio VTP-nwking.org. Así, a actualización da base de datos do interruptor SW0 pasou por SW1 e reflectiuse en SW2.
Agora tentarei cambiar o nome de dominio especificado, para o que irei á configuración de SW0 e escribirei o comando vtp domain NetworKing. Como podes ver, esta vez non houbo ningunha actualización: o nome de dominio VTP no terceiro interruptor permaneceu igual. O feito é que esa actualización do nome de dominio ocorre só unha vez, cando o dominio predeterminado cambia. Se despois disto o nome de dominio VTP cambia de novo, terá que cambialo manualmente nos interruptores restantes.
Agora crearei unha nova rede VLAN100 na consola CLI do primeiro interruptor e chamarei IMRAN. Apareceu na base de datos VLAN do primeiro switch, pero non apareceu na base de datos do terceiro switch, porque estes son dominios diferentes. Lembre que a actualización da base de datos VLAN só ocorre se ambos os interruptores teñen o mesmo dominio ou, como mostrei anteriormente, se establece un novo nome de dominio en lugar do nome predeterminado.
Entro na configuración de 3 interruptores e intro secuencialmente os comandos do modo vtp e do dominio vtp NetworKing. Ten en conta que a entrada do nome distingue entre maiúsculas e minúsculas, polo que a ortografía do nome de dominio debe ser exactamente a mesma para ambos os interruptores. Agora poño SW2 de novo en modo cliente usando o comando cliente en modo vtp. A ver que pasa. Como podes ver, agora, se o nome de dominio coincide, actualizouse a base de datos SW2 e apareceu nela unha nova rede IMRAN VLAN100, e estes cambios non teñen ningún efecto sobre o switch medio, porque está en modo transparente.
Se queres protexerte do acceso non autorizado, podes crear un contrasinal VTP. Non obstante, debes asegurarte de que o dispositivo do outro lado terá exactamente o mesmo contrasinal, porque só neste caso poderá aceptar actualizacións VTP.
O seguinte que veremos é a poda VTP, ou "poda" de VLAN non utilizadas. Se tes 100 dispositivos na túa rede que usan VTP, a actualización da base de datos VLAN nun dispositivo replicarase automaticamente nos outros 99 dispositivos. Non obstante, non todos estes dispositivos teñen as VLAN mencionadas na actualización, polo que é posible que non se necesite información sobre eles.
O envío de actualizacións da base de datos de VLAN aos dispositivos que usan VTP significa que todos os portos de todos os dispositivos recibirán información sobre as VLAN engadidas, eliminadas e modificadas coa que quizais non teñan nada que ver. Ao mesmo tempo, a rede está obstruída polo exceso de tráfico. Para evitar que isto suceda, utilízase o concepto de recorte VTP. Para activar o modo de "poda" de VLAN irrelevantes no switch, use o comando de poda vtp. A continuación, os conmutadores indicaranse automaticamente entre eles cales son as VLAN que están a usar realmente, avisando así aos veciños de que non precisan enviar actualizacións ás redes que non están conectadas a elas.
Por exemplo, se SW2 non ten ningún porto VLAN10, entón non necesita SW1 para enviarlle tráfico a esa rede. Ao mesmo tempo, o switch SW1 necesita tráfico VLAN10 porque un dos seus portos está conectado a esta rede, simplemente non precisa enviar este tráfico para cambiar SW2.
Entón, se SW2 está a usar o modo de poda vtp, dille a SW1: "por favor, non me envíe tráfico para VLAN10 porque esta rede non está conectada comigo e ningún dos meus portos está configurado para funcionar con esta rede". Isto é o que fai usar o comando vtp pruning.
Hai outra forma de filtrar o tráfico para unha interface específica. Permítelle configurar un porto nun tronco cunha VLAN específica. A desvantaxe deste método é a necesidade de configurar manualmente cada porto troncal, que terá que especificar cales VLAN están permitidas e cales están prohibidas. Para iso, utilízase unha secuencia de 3 comandos. O primeiro indica a interface afectada por estas restricións, o segundo converte esta interface nun porto troncal e o terceiro - switchport trunk allowed vlan < all/none/add/remove/VLAN number> - mostra que VLAN está permitida neste porto: todos, ningún, VLAN para engadir ou VLAN para eliminar.
Dependendo da situación específica, elixes que usar: poda VTP ou Tronco permitido. Algunhas organizacións prefiren non usar VTP por razóns de seguridade, polo que optan por configurar o trunking manualmente. Dado que o comando de poda vtp non funciona en Packet Tracer, mostrareino no emulador GNS3.
Se entras na configuración de SW2 e introduces o comando de poda vtp, o sistema informará inmediatamente de que este modo está activado: A poda está activada, é dicir, a "poda" VLAN está activada cun só comando.
Se escribimos o comando show vtp status, veremos que o modo de poda vtp está activado.
Se está a configurar este modo nun servidor conmutador, vaia á súa configuración e introduza o comando de poda vtp. Isto significa que os dispositivos conectados ao servidor usarán automaticamente a poda vtp para minimizar o tráfico de trunking para VLAN irrelevantes.
Se non quere usar este modo, debe iniciar sesión nunha interface específica, por exemplo e0/0, e despois emitir o comando vlan permitido trunk port switch. O sistema darache consellos sobre posibles parámetros para este comando:
— WORD — Número de VLAN que se permitirá nesta interface no modo troncal;
— add — VLAN que se engadirá á lista de base de datos de VLAN;
— all — permite todas as VLAN;
— excepto — permite todas as VLAN excepto as especificadas;
— ningún—prohibe todas as VLAN;
— remove—elimina unha VLAN da lista de base de datos de VLAN.
Por exemplo, se temos un tronco permitido para VLAN10 e queremos permitilo para a rede VLAN20, entón necesitamos introducir o comando switchport trunk allowed vlan add 20.
Quero mostrarche outra cousa, polo que uso o comando show interface trunk. Teña en conta que, por defecto, todas as VLAN 1-1005 estaban permitidas para o tronco, e agora engadiuse a VLAN10.
Se uso o comando switchport trunk allowed vlan add 20 e pido de novo que se mostre o estado do tronco, poderemos ver que agora o tronco ten dúas redes permitidas: VLAN10 e VLAN20.
Neste caso, ningún outro tráfico, salvo o destinado ás redes especificadas, poderá pasar por este tronco. Ao permitir o tráfico só para VLAN 10 e VLAN 20, denegamos o tráfico para todas as outras VLAN. Aquí tes como configurar manualmente a configuración de trunking para unha VLAN específica nunha interface de conmutador específica.
Teña en conta que ata o remate do día 17 de novembro de 2017, temos un desconto do 90% no custo da descarga de traballos de laboratorio sobre este tema na nosa web.
Grazas pola túa atención e vémonos na próxima lección de vídeo!
Grazas por estar connosco. Gústanche os nosos artigos? Queres ver máis contido interesante? Apóyanos facendo un pedido ou recomendando a amigos, Desconto do 30 % para os usuarios de Habr nun análogo único de servidores de nivel de entrada, que inventamos nós para ti: (dispoñible con RAID1 e RAID10, ata 24 núcleos e ata 40 GB DDR4).
Dell R730xd 2 veces máis barato? Só aquí nos Países Baixos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - desde $ 99! Ler sobre
Fonte: www.habr.com