Danas ćemo nastaviti našu raspravu o VLAN-ovima i raspravljati o VTP protokolu, kao i konceptima VTP odstranjivanja i izvornog VLAN-a. Već smo govorili o VTP-u u jednom od prethodnih videa, a prva stvar koja bi vam trebala pasti na pamet kada čujete za VTP je da to nije trunking protokol, unatoč tome što se naziva "VLAN trunking protokol."
Kao što znate, postoje dva popularna trunking protokola - vlasnički Cisco ISL protokol, koji se danas ne koristi, i 802.q protokol, koji se koristi u mrežnim uređajima raznih proizvođača za enkapsulaciju trunking prometa. Ovaj se protokol također koristi u Cisco preklopnicima. Već smo rekli da je VTP VLAN sinkronizacijski protokol, odnosno dizajniran je za sinkronizaciju VLAN baze podataka na svim mrežnim preklopnicima.
Spomenuli smo različite VTP modove - server, klijent, transparent. Ako uređaj koristi način rada poslužitelja, to vam omogućuje da napravite promjene, dodate ili uklonite VLAN-ove. Način rada klijenta ne dopušta vam da mijenjate postavke prekidača, VLAN bazu podataka možete konfigurirati samo putem VTP poslužitelja, a ona će se replicirati na svim VTP klijentima. Prekidač u transparentnom načinu rada ne mijenja vlastitu VLAN bazu podataka, već jednostavno prolazi kroz sebe i prenosi promjene na sljedeći uređaj u načinu rada klijenta. Ovaj način je sličan onemogućavanju VTP-a na određenom uređaju, pretvarajući ga u prijenosnik informacija o promjeni VLAN-a.
Vratimo se programu Packet Tracer i topologiji mreže o kojoj smo govorili u prethodnoj lekciji. Konfigurirali smo VLAN10 mrežu za odjel prodaje i VLAN20 mrežu za odjel marketinga, kombinirajući ih s tri preklopnika.
Između preklopnika SW0 i SW1 komunikacija se odvija preko VLAN20 mreže, a između SW0 i SW2 postoji komunikacija preko VLAN10 mreže iz razloga što smo VLAN10 dodali u VLAN bazu preklopnika SW1.
Kako bismo razmotrili rad VTP protokola, upotrijebimo jedan od preklopnika kao VTP poslužitelj, neka to bude SW0. Ako se sjećate, prema zadanim postavkama svi prekidači rade u načinu rada VTP poslužitelja. Idemo na terminal naredbenog retka prekidača i unesite naredbu show vtp status. Vidite da je trenutna verzija VTP protokola 2, a broj revizije konfiguracije je 4. Ako se sjećate, svaki put kada se naprave promjene u VTP bazi podataka, broj revizije se povećava za jedan.
Maksimalni broj podržanih VLAN-ova je 255. Ovaj broj ovisi o marki određenog Cisco preklopnika, budući da različiti preklopnici mogu podržati različit broj lokalnih virtualnih mreža. Broj postojećih VLAN-ova je 7, za minutu ćemo pogledati koje su to mreže. Način kontrole VTP-a je poslužitelj, naziv domene nije postavljen, način odrezivanja VTP-a je onemogućen, vratit ćemo se na ovo kasnije. Načini generiranja VTP V2 i VTP Traps također su onemogućeni. Ne morate znati za posljednja dva načina da biste položili 200-125 CCNA ispit, stoga ne brinite o njima.
Pogledajmo VLAN bazu podataka pomoću naredbe show vlan. Kao što smo već vidjeli u prethodnom videu, imamo 4 nepodržane mreže: 1002, 1003, 1004 i 1005.
Također navodi 2 mreže koje smo stvorili, VLAN10 i 20, i zadanu mrežu, VLAN1. Sada prijeđimo na drugi prekidač i unesite istu naredbu za pregled VTP statusa. Vidite da je revizijski broj ovog prekidača 3, da je u načinu rada VTP poslužitelja i sve ostale informacije su slične prvom prekidaču. Kada unesem naredbu show VLAN, vidim da smo napravili 2 promjene u postavkama, jednu manje od preklopnika SW0, zbog čega je broj revizije SW1 3. Napravili smo 3 promjene u zadanim postavkama prvog prekidač, stoga je njegov broj revizije povećan na 4.
Sada pogledajmo status SW2. Broj revizije ovdje je 1, što je čudno. Moramo imati drugu reviziju jer je napravljena 1 promjena postavki. Pogledajmo VLAN bazu podataka.
Napravili smo jednu promjenu, stvarajući VLAN10, i ne znam zašto te informacije nisu ažurirane. Možda se to dogodilo jer nemamo pravu mrežu, već softverski simulator mreže, koji može imati pogreške. Kada imate priliku raditi sa stvarnim uređajima tijekom stažiranja u Ciscu, to će vam pomoći više od simulatora Packet Tracer. Još jedna korisna stvar u nedostatku pravih uređaja bio bi GNC3, odnosno grafički simulator mreže Cisco. Ovo je emulator koji koristi pravi operativni sustav uređaja, poput usmjerivača. Postoji razlika između simulatora i emulatora - prvi je program koji izgleda kao pravi usmjerivač, ali to nije. Softver emulatora stvara samo sam uređaj, ali koristi pravi softver za upravljanje njime. Ali ako nemate mogućnost pokretanja stvarnog softvera Cisco IOS, Packet Tracer je vaša najbolja opcija.
Dakle, moramo konfigurirati SW0 kao VTP poslužitelj, za ovo idem u način konfiguracije globalnih postavki i unesem naredbu vtp verzije 2. Kao što sam rekao, možemo instalirati verziju protokola koja nam je potrebna - 1 ili 2, u ovom slučaju trebamo drugu verziju. Zatim pomoću naredbe vtp mode postavljamo VTP mod preklopnika - server, klijent ili transparent. U ovom slučaju potreban nam je poslužiteljski način rada, a nakon unosa naredbe vtp mode server, sustav prikazuje poruku da je uređaj već u poslužiteljskom načinu rada. Zatim moramo konfigurirati VTP domenu, za što koristimo naredbu vtp domain nwking.org. Zašto je to potrebno? Ako na mreži postoji drugi uređaj s višim revizijskim brojem, svi ostali uređaji s nižim revizijskim brojem počinju replicirati VLAN bazu podataka s tog uređaja. Međutim, to se događa samo ako uređaji imaju isti naziv domene. Na primjer, ako radite na nwking.org, označite ovu domenu, ako na Cisco, onda domenu cisco.com, i tako dalje. Naziv domene uređaja vaše tvrtke omogućuje vam da ih razlikujete od uređaja druge tvrtke ili bilo kojih drugih vanjskih uređaja na mreži. Kada uređaju dodijelite naziv domene tvrtke, činite ga dijelom mreže te tvrtke.
Sljedeća stvar koju trebate učiniti je postaviti VTP lozinku. Potreban je kako haker, koji ima uređaj s visokim brojem revizije, ne bi mogao kopirati svoje VTP postavke na vaš switch. Cisco lozinku unosim pomoću naredbe vtp password cisco. Nakon toga, replikacija VTP podataka između preklopnika bit će moguća samo ako se lozinke podudaraju. Ako se koristi pogrešna lozinka, VLAN baza podataka neće biti ažurirana.
Pokušajmo stvoriti još VLAN-ova. Da bih to učinio, koristim naredbu config t, koristim naredbu vlan 200 za stvaranje mreže broj 200, dajem joj naziv TEST i spremam promjene naredbom izlaz. Zatim kreiram još jedan vlan 500 i zovem ga TEST1. Ako sada unesete naredbu show vlan, tada u tablici virtualnih mreža preklopnika možete vidjeti ove dvije nove mreže, kojima nije dodijeljen niti jedan port.
Prijeđimo na SW1 i vidimo njegov VTP status. Vidimo da se ovdje ništa nije promijenilo osim naziva domene, broj VLAN-ova ostaje jednak 7. Ne vidimo da se pojavljuju mreže koje smo stvorili jer VTP lozinka ne odgovara. Postavimo VTP lozinku na ovom prekidaču uzastopnim unosom naredbi conf t, vtp pass i vtp lozinka Cisco. Sustav je prijavio da VLAN baza podataka uređaja sada koristi Cisco lozinku. Pogledajmo još jednom VTP status da provjerimo jesu li informacije replicirane. Kao što vidite, broj postojećih VLAN-ova se automatski povećao na 9.
Ako pogledate VLAN bazu podataka ovog preklopnika, možete vidjeti da su se VLAN200 i VLAN500 mreže koje smo kreirali automatski pojavile u njoj.
Isto treba učiniti sa zadnjim prekidačem SW2. Unesite naredbu show vlan - vidite da u njoj nije došlo do promjena. Isto tako, nema promjena u VTP statusu. Da bi ovaj prekidač mogao ažurirati podatke, potrebno je postaviti i lozinku, odnosno unijeti iste naredbe kao za SW1. Nakon toga će se broj VLAN-ova u statusu SW2 povećati na 9.
Tome služi VTP. Ovo je sjajna stvar koja automatski ažurira informacije na svim klijentskim mrežnim uređajima nakon što se naprave promjene na poslužiteljskom uređaju. Ne morate ručno mijenjati VLAN bazu podataka svih preklopnika - replikacija se događa automatski. Ako imate 200 mrežnih uređaja, promjene koje napravite bit će spremljene na svih dvjesto uređaja u isto vrijeme. Za svaki slučaj, moramo se uvjeriti da je SW2 također VTP klijent, pa idemo u postavke s naredbom config t i unesite naredbu vtp mode client.
Dakle, u našoj mreži samo je prvi preklopnik u načinu rada VTP poslužitelja, druga dva rade u načinu rada VTP klijenta. Ako sada uđem u postavke SW2 i unesem naredbu vlan 1000, dobit ću poruku: "konfiguriranje VTP VLAN-a nije dopušteno kada je uređaj u načinu rada klijenta." Dakle, ne mogu napraviti nikakve promjene u VLAN bazi podataka ako je preklopnik u načinu VTP klijenta. Ako želim unijeti bilo kakve promjene, moram otići na server za prebacivanje.
Idem na postavke terminala SW0 i upisujem naredbe vlan 999, imenujem IMRAN i izlazim. Ova nova mreža se pojavila u VLAN bazi podataka ovog preklopnika i ako sada odem u bazu podataka klijentskog preklopnika SW2 vidjet ću da se i ovdje pojavila ista informacija, odnosno došlo je do replikacije.
Kao što sam rekao, VTP je izvrstan softver, ali ako se koristi neispravno, može poremetiti cijelu mrežu. Stoga morate biti vrlo oprezni pri rukovanju mrežom tvrtke ako naziv domene i VTP lozinka nisu postavljeni. U ovom slučaju, sve što haker treba učiniti je uključiti kabel svog switcha u mrežnu utičnicu na zidu, spojiti se na bilo koji uredski switch pomoću DTP protokola i zatim pomoću kreiranog trunka ažurirati sve informacije koristeći VTP protokol. . Na taj način haker može obrisati sve važne VLAN-ove, koristeći činjenicu da je revizijski broj njegovog uređaja veći od revizijskog broja ostalih preklopnika. U tom će slučaju tvrtkini preklopnici automatski zamijeniti sve informacije baze podataka VLAN-a informacijama repliciranim iz zlonamjernog preklopnika i cijela vaša mreža će se srušiti.
To je zbog činjenice da su računala povezana mrežnim kabelom na određeni port preklopnika kojem je dodijeljen VLAN 10 ili VLAN20. Ako se te mreže izbrišu iz LAN baze podataka preklopnika, automatski će se onemogućiti priključak koji pripada nepostojećoj mreži. Obično se mreža tvrtke može srušiti upravo zato što preklopnici jednostavno onemogućuju portove povezane s VLAN-ovima koji su uklonjeni tijekom sljedećeg ažuriranja.
Kako biste spriječili pojavu takvog problema, morate postaviti naziv VTP domene i lozinku ili koristiti značajku Cisco Port Security, koja vam omogućuje upravljanje MAC adresama portova preklopnika, uvodeći različita ograničenja u njihovu upotrebu. Na primjer, ako netko drugi pokuša promijeniti MAC adresu, port će se odmah pokvariti. Uskoro ćemo pobliže pogledati ovu značajku Cisco preklopnika, ali za sada sve što trebate znati je da vam Port Security omogućuje da budete sigurni da je VTP zaštićen od napadača.
Ukratko objasnimo što je VTP postavka. Ovo je izbor verzije protokola - 1 ili 2, dodjela VTP moda - server, klijent ili transparent. Kao što sam već rekao, potonji način ne ažurira VLAN bazu podataka samog uređaja, već jednostavno prenosi sve promjene na susjedne uređaje. Slijede naredbe za dodjelu naziva domene i lozinke: vtp domena <ime domene> i vtp lozinka <lozinka>.
Sada razgovarajmo o VTP postavkama rezanja. Ako pogledate topologiju mreže, možete vidjeti da sva tri preklopnika imaju istu VLAN bazu podataka, što znači da su VLAN10 i VLAN20 dio sva 3 preklopnika. Tehnički, switch SW2 ne treba VLAN20 jer nema portove koji pripadaju ovoj mreži. Međutim, bez obzira na to, sav promet poslan s Laptop0 računala preko VLAN20 mreže dolazi do SW1 preklopnika i od njega ide kroz trunk do SW2 portova. Vaš glavni zadatak kao mrežnog stručnjaka je osigurati da se što manje nepotrebnih podataka prenosi preko mreže. Morate osigurati da se potrebni podaci prenose, ali kako možete ograničiti prijenos informacija koje nisu potrebne uređaju?
Morate osigurati da promet namijenjen uređajima na VLAN20 ne teče prema SW2 portovima kroz trunk kada to nije potrebno. Odnosno, promet Laptop0 trebao bi doći do SW1, a zatim do računala na VLAN20, ali ne bi trebao ići dalje od desnog trunk porta SW1. To se može postići VTP obrezivanjem.
Da bismo to učinili, moramo otići na postavke VTP poslužitelja SW0, jer kao što sam već rekao, VTP postavke se mogu napraviti samo preko poslužitelja, otići na globalne postavke konfiguracije i upisati naredbu vtp rezanja. Budući da je Packet Tracer samo simulacijski program, nema takve naredbe u njegovim upitima naredbenog retka. Međutim, kada upišem vtp rezanje i pritisnem Enter, sustav mi govori da način vtp rezanja nije dostupan.
Koristeći naredbu show vtp status, vidjet ćemo da je VTP Pruning način rada u onemogućenom stanju, pa ga trebamo učiniti dostupnim pomicanjem u omogućen položaj. Nakon što smo to učinili, aktiviramo VTP Pruning mod na sva tri preklopnika naše mreže unutar mrežne domene.
Dopustite da vas podsjetim što je VTP rezidba. Kada omogućimo ovaj način rada, poslužitelj prekidača SW0 obavještava prekidač SW2 da je samo VLAN10 konfiguriran na njegovim portovima. Nakon toga, preklopnik SW2 govori preklopniku SW1 da ne treba nikakav promet osim prometa namijenjenog VLAN10. Sada, zahvaljujući VTP smanjenju, prekidač SW1 ima informaciju da ne treba slati VLAN20 promet duž SW1-SW2 trunka.
Ovo je vrlo zgodno za vas kao mrežnog administratora. Ne morate ručno unositi naredbe jer je preklopnik dovoljno pametan da pošalje točno ono što određeni mrežni uređaj treba. Ako sutra postavite još jedan marketinški odjel u susjednu zgradu i spojite njegovu VLAN20 mrežu na preklopnik SW2, taj preklopnik će odmah reći preklopniku SW1 da sada ima VLAN10 i VLAN20 i zatražiti da proslijedi promet za obje mreže. Ove se informacije stalno ažuriraju na svim uređajima, čineći komunikaciju učinkovitijom.
Postoji još jedan način da odredite prijenos prometa - to je korištenje naredbe koja dopušta prijenos podataka samo za navedeni VLAN. Odem na postavke switcha SW1 gdje me zanima port Fa0/4 i upišem naredbe int fa0/4 i switchport trunk allowed vlan. Budući da već znam da SW2 ima samo VLAN10, mogu reći SW1 da dopusti samo promet za tu mrežu na svom glavnom portu korištenjem dozvoljene vlan naredbe. Tako sam programirao glavni priključak Fa0/4 da prenosi promet samo za VLAN10. To znači da ovaj priključak neće dopustiti daljnji promet s VLAN1, VLAN20 ili bilo koje druge mreže osim navedene.
Možda se pitate što je bolje koristiti: VTP obrezivanje ili dozvoljenu vlan naredbu. Odgovor je subjektivan jer u nekim slučajevima ima smisla koristiti prvu metodu, au drugima ima smisla koristiti drugu. Kao mrežni administrator, na vama je da odaberete najbolje rješenje. U nekim slučajevima odluka da se port programira tako da omogući promet s određenog VLAN-a može biti dobra, ali u drugim može biti loša. U slučaju naše mreže, korištenje dozvoljene naredbe vlan može biti opravdano ako ne namjeravamo promijeniti topologiju mreže. No, ako netko kasnije želi dodati grupu uređaja koji koriste VLAN2 na SW 20, bilo bi preporučljivije koristiti VTP Pruning mod.
Dakle, postavljanje VTP rezanja uključuje korištenje sljedećih naredbi. Naredba za obrezivanje vtp omogućuje automatsku upotrebu ovog načina rada. Ako želite konfigurirati VTP odstranjivanje trunk porta kako biste omogućili da promet određenog VLAN-a prolazi ručno, tada upotrijebite naredbu za odabir sučelja broja trunk porta <#>, omogućite trunk mod switchport mode trunk i dopustite prijenos prometa na određenu mrežu pomoću naredbe switchport trunk allowed vlan .
U zadnjoj naredbi možete koristiti 5 parametara. Sve znači da je prijenos prometa za sve VLAN-ove dopušten, nijedan – prijenos prometa za sve VLAN-ove je zabranjen. Ako koristite parametar add, možete dodati propusnost prometa za drugu mrežu. Na primjer, dopuštamo VLAN10 promet, a naredbom add možemo dopustiti i VLAN20 promet. Naredba za uklanjanje omogućuje vam uklanjanje jedne od mreža, na primjer, ako koristite parametar za uklanjanje 20, ostat će samo VLAN10 promet.
Sada pogledajmo izvorni VLAN. Već smo rekli da je izvorni VLAN virtualna mreža za prolazak neoznačenog prometa kroz određeni trunk port.
Idem u određene postavke priključka kao što je naznačeno zaglavljem naredbenog retka SW(config-if)# i koristim naredbu switchport trunk native vlan <mrežni broj>, na primjer VLAN10. Sada će sav promet na VLAN10 ići kroz neoznačeni trunk.
Vratimo se topologiji logičke mreže u prozoru Packet Tracer. Ako koristim naredbu switchport trunk native vlan 20 na portu switcha Fa0/4, tada će sav promet na VLAN20 teći kroz Fa0/4 – SW2 trunk neoznačen. Kada sklopka SW2 primi ovaj promet, pomislit će: "ovo je neoznačeni promet, što znači da bih ga trebao usmjeriti na izvorni VLAN." Za ovaj prekidač, izvorni VLAN je VLAN1 mreža. Mreže 1 i 20 nisu ni na koji način povezane, ali budući da se koristi izvorni VLAN način, imamo priliku usmjeriti VLAN20 promet na potpuno drugu mrežu. Međutim, ovaj će promet biti neinkapsuliran, a same se mreže i dalje moraju podudarati.
Pogledajmo ovo na primjeru. Otići ću u postavke SW1 i upotrijebiti naredbu switchport trunk native vlan 10. Sada će svaki VLAN10 promet izaći iz glavnog priključka neoznačen. Kada dosegne trunk port SW2, switch će shvatiti da ga mora proslijediti na VLAN1. Kao rezultat ove odluke, promet neće moći doprijeti do računala PC2, 3 i 4, jer su povezana na pristupne portove preklopnika namijenjene VLAN10.
Tehnički, ovo će uzrokovati da sustav prijavi da izvorni VLAN porta Fa0/4, koji je dio VLAN10, ne odgovara portu Fa0/1, koji je dio VLAN1. To znači da navedeni priključci neće moći raditi u trunk modu zbog neusklađenosti izvornog VLAN-a.
Hvala što ste ostali s nama. Sviđaju li vam se naši članci? Želite li vidjeti više zanimljivog sadržaja? Podržite nas narudžbom ili preporukom prijateljima, 30% popusta za korisnike Habra na jedinstveni analog početnih poslužitelja, koji smo izmislili za vas: (dostupno s RAID1 i RAID10, do 24 jezgre i do 40 GB DDR4).
Dell R730xd 2 puta jeftiniji? Samo ovdje u Nizozemskoj! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB - od 99 USD! Pročitaj o
Izvor: www.habr.com