Ma folytatjuk a VLAN-okról szóló vitát, és megvitatjuk a VTP protokollt, valamint a VTP-metszés és a natív VLAN fogalmait. Az egyik előző videóban már beszéltünk a VTP-ről, és az első dolog, ami eszébe juthat, ha a VTP-ről hall, az az, hogy ez nem egy trönkölési protokoll, annak ellenére, hogy „VLAN trunking protokollnak” nevezik.
Mint ismeretes, két népszerű trönkölési protokoll létezik: a szabadalmaztatott Cisco ISL protokoll, amelyet ma még nem használnak, és a 802.q protokoll, amelyet a különböző gyártók hálózati eszközei használnak a trönkforgalom beágyazására. Ezt a protokollt a Cisco kapcsolók is használják. Korábban már említettük, hogy a VTP egy VLAN szinkronizációs protokoll, vagyis arra tervezték, hogy szinkronizálja a VLAN adatbázist az összes hálózati kapcsolón keresztül.
Különböző VTP módokat említettünk - szerver, kliens, transzparens. Ha az eszköz szerver módot használ, ez lehetővé teszi a változtatások végrehajtását, VLAN-ok hozzáadását vagy eltávolítását. A kliens mód nem teszi lehetővé a kapcsolóbeállítások módosítását, a VLAN-adatbázist csak a VTP-kiszolgálón keresztül konfigurálhatja, és az összes VTP-kliensre replikálódik. A transzparens módban lévő kapcsoló nem módosítja a saját VLAN-adatbázisát, hanem egyszerűen átmegy önmagán, és átviszi a változtatásokat a következő eszközre kliens módban. Ez a mód hasonló a VTP letiltásához egy adott eszközön, amely a VLAN változási információinak hordozójává alakítja azt.
Térjünk vissza a Packet Tracer programhoz és az előző leckében tárgyalt hálózati topológiához. Az értékesítési részleghez VLAN10 hálózatot, a marketing részleghez pedig egy VLAN20 hálózatot konfiguráltunk, ezeket három kapcsolóval kombináltuk.
Az SW0 és SW1 kapcsolók között a kommunikáció a VLAN20 hálózaton, az SW0 és az SW2 között pedig a VLAN10 hálózaton keresztül történik, amiatt, hogy a VLAN10-et hozzáadtuk az SW1 kapcsoló VLAN adatbázisához.
A VTP protokoll működésének figyelembevételéhez használjuk az egyik kapcsolót VTP szerverként, legyen az SW0. Ha emlékszel, alapértelmezés szerint minden kapcsoló VTP szerver módban működik. Menjünk a kapcsoló parancssori termináljára, és írjuk be a show vtp status parancsot. Látja, hogy a VTP protokoll jelenlegi verziója 2, a konfigurációs verziószám pedig 4. Ha emlékszik, minden alkalommal, amikor módosítja a VTP adatbázist, a verziószám eggyel nő.
A támogatott VLAN-ok maximális száma 255. Ez a szám az adott Cisco switch márkájától függ, mivel a különböző switchek különböző számú helyi virtuális hálózatot támogathatnak. A meglévő VLAN-ok száma 7, egy perc múlva megnézzük, mik is ezek a hálózatok. A VTP vezérlési mód szerver, domain név nincs beállítva, VTP metszés mód le van tiltva, erre később visszatérünk. A VTP V2 és a VTP Traps Generation módok is le vannak tiltva. A 200-125 CCNA vizsga letételéhez nem kell tudnia az utolsó két módról, ezért ne aggódjon miattuk.
Vessünk egy pillantást a VLAN adatbázisra a show vlan paranccsal. Ahogy az előző videóban is láttuk, 4 nem támogatott hálózatunk van: 1002, 1003, 1004 és 1005.
Ezenkívül felsorolja az általunk létrehozott 2 hálózatot, a VLAN10-et és a 20-at, valamint az alapértelmezett hálózatot, a VLAN1-et. Most lépjünk át egy másik kapcsolóra, és írjuk be ugyanazt a parancsot a VTP állapotának megtekintéséhez. Látja, hogy ennek a kapcsolónak a verziószáma 3, VTP szerver módban van, és minden egyéb információ hasonló az első kapcsolóhoz. Amikor beírom a show VLAN parancsot, azt látom, hogy 2 változtatást hajtottunk végre a beállításokon, eggyel kevesebbet, mint az SW0 kapcsolónál, ezért az SW1 revíziószáma 3. Az elsőnél 3 változtatást végeztünk az alapértelmezett beállításokon. kapcsolót, ezért a revíziószáma 4-re emelkedett.
Most nézzük meg az SW2 állapotát. A revíziószám itt 1, ami furcsa. Szükségünk van egy második felülvizsgálatra, mert 1 beállításmódosítás történt. Nézzük a VLAN adatbázist.
Egy változtatást hajtottunk végre, létrehoztuk a VLAN10-et, és nem tudom, hogy ez az információ miért nem frissült. Lehetséges, hogy ez azért történt, mert nem valódi hálózatunk van, hanem szoftveres hálózati szimulátorunk, amiben előfordulhatnak hibák. Ha lehetősége nyílik valódi eszközökkel dolgozni a Ciscónál végzett gyakorlata közben, az többet fog segíteni, mint a Packet Tracer szimulátor. Egy másik hasznos dolog valódi eszközök hiányában a GNC3, vagy egy grafikus Cisco hálózati szimulátor. Ez egy emulátor, amely egy eszköz, például egy útválasztó valódi operációs rendszerét használja. Különbség van a szimulátor és az emulátor között - az előbbi egy olyan program, amely úgy néz ki, mint egy igazi router, de nem az. Az emulátor szoftver csak magát az eszközt hozza létre, de valódi szoftvert használ a működtetéséhez. Ha azonban nem tudja futtatni a tényleges Cisco IOS szoftvert, a Packet Tracer a legjobb választás.
Tehát az SW0-t VTP szerverként kell konfigurálnunk, ehhez bemegyek a globális beállítások konfigurációs módba, és beírom a vtp version 2 parancsot.Amint mondtam, telepíthetjük a szükséges protokollverziót - 1-es vagy 2-es. esetre szükségünk van egy második verzióra. Ezután a vtp mode paranccsal beállítjuk a kapcsoló VTP módját - szerver, kliens vagy transzparens. Ilyenkor szerver módra van szükségünk, és a vtp mode server parancs beírása után a rendszer egy üzenetet jelenít meg, hogy az eszköz már szerver módban van. Ezután be kell állítanunk egy VTP tartományt, amelyhez a vtp domain nwking.org parancsot használjuk. Miért van erre szükség? Ha van a hálózaton egy másik, magasabb verziószámú eszköz, az összes többi, alacsonyabb verziószámú eszköz elkezdi replikálni a VLAN-adatbázist erről az eszközről. Ez azonban csak akkor történik meg, ha az eszközöknek ugyanaz a domain neve. Például, ha az nwking.org webhelyen dolgozik, akkor ezt a tartományt adja meg, ha a Cisco-nál, akkor a cisco.com tartományt, és így tovább. A cég eszközeinek domain neve lehetővé teszi, hogy megkülönböztesse őket egy másik vállalat eszközeitől vagy a hálózat bármely más külső eszközétől. Ha egy vállalat tartománynevét rendeli hozzá egy eszközhöz, akkor azt az adott vállalat hálózatának részévé teszi.
A következő teendő a VTP jelszó beállítása. Erre azért van szükség, hogy egy hacker, akinek magas verziószámú eszköze van, ne tudja átmásolni a VTP beállításait az Ön switchére. A cisco jelszót a vtp password cisco paranccsal írom be. Ezt követően a VTP-adatok kapcsolók közötti replikációja csak akkor lesz lehetséges, ha a jelszavak megegyeznek. Ha rossz jelszót használ, a VLAN adatbázis nem frissül.
Próbáljunk meg több VLAN-t létrehozni. Ehhez a config t parancsot használom, a vlan 200 paranccsal létrehozok egy 200-as hálózati számot, megadom a TESZT nevet és elmentem a változtatásokat az exit paranccsal. Ezután létrehozok egy másik vlan 500-at, és elhívom TEST1-nek. Ha most beírja a show vlan parancsot, akkor a switch virtuális hálózatainak táblázatában láthatja ezt a két új hálózatot, amelyekhez egyetlen port sincs hozzárendelve.
Térjünk át az SW1-re, és nézzük meg a VTP állapotát. Azt látjuk, hogy itt a domain néven kívül semmi nem változott, a VLAN-ok száma 7 marad. Nem látjuk az általunk létrehozott hálózatokat, mert a VTP jelszó nem egyezik. Állítsuk be a VTP jelszót ezen a kapcsolón a conf t, vtp pass és vtp password Cisco parancsok egymás utáni beírásával. A rendszer arról számolt be, hogy az eszköz VLAN-adatbázisa mostantól a Cisco jelszót használja. Vessünk még egy pillantást a VTP állapotára, hogy ellenőrizzük, sikerült-e replikálni az információt. Mint látható, a meglévő VLAN-ok száma automatikusan 9-re nőtt.
Ha megnézzük ennek a switchnek a VLAN adatbázisát, láthatjuk, hogy az általunk létrehozott VLAN200 és VLAN500 hálózatok automatikusan megjelentek benne.
Ugyanezt kell tenni az utolsó SW2 kapcsolóval is. Írjuk be a show vlan parancsot – láthatjuk, hogy nem történt változás benne. Hasonlóképpen, nincs változás a VTP állapotában sem. Ahhoz, hogy ez a kapcsoló frissítse az információkat, be kell állítania egy jelszót is, azaz ugyanazokat a parancsokat kell megadnia, mint az SW1-nél. Ezt követően az SW2 állapotú VLAN-ok száma 9-re nő.
Erre való a VTP. Ez egy nagyszerű dolog, amely automatikusan frissíti az információkat az összes kliens hálózati eszközön, miután változtatásokat hajt végre a szervereszközön. Nem kell manuálisan módosítania az összes kapcsoló VLAN-adatbázisát – a replikáció automatikusan megtörténik. Ha 200 hálózati eszközzel rendelkezik, a végrehajtott módosítások egyszerre mind a kétszáz eszközön mentésre kerülnek. Minden esetre meg kell győződnünk arról, hogy az SW2 is VTP kliens, ezért menjünk be a beállításokba a config t paranccsal, és írjuk be a vtp mode client parancsot.
Így hálózatunkban csak az első kapcsoló van VTP Server módban, a másik kettő VTP Client módban működik. Ha most belépek az SW2 beállításaiba, és beírom a vlan 1000 parancsot, a következő üzenetet kapom: „A VTP VLAN konfigurálása nem engedélyezett, ha az eszköz kliens módban van.” Így nem tudok módosítani a VLAN adatbázison, ha a kapcsoló VTP kliens módban van. Ha módosítani akarok, a switch szerverre kell lépnem.
Megyek az SW0 terminál beállításaihoz, és beírom a vlan 999 parancsokat, nevezem el az IMRAN-t és kilépek. Ennek a kapcsolónak a VLAN adatbázisában megjelent ez az új hálózat, és ha most rámegyek a kliens switch SW2 adatbázisára, akkor azt látom, hogy itt is ugyanazok az információk jelentek meg, vagyis replikáció történt.
Mint mondtam, a VTP egy nagyszerű szoftver, de ha helytelenül használják, megzavarhatja az egész hálózatot. Ezért nagyon óvatosnak kell lennie a vállalati hálózat kezelésekor, ha a domain név és a VTP jelszó nincs beállítva. Ebben az esetben a hackernek nem kell mást tennie, mint bedugni a kapcsolójának kábelét a fali hálózati aljzatba, csatlakozni bármely irodai kapcsolóhoz a DTP protokoll segítségével, majd a létrehozott trönk segítségével frissíteni az összes információt a VTP protokoll segítségével. . Így a hacker minden fontos VLAN-t törölhet, kihasználva azt a tényt, hogy eszközének verziószáma magasabb, mint a többi kapcsolóé. Ebben az esetben a vállalat kapcsolói automatikusan lecserélik a VLAN-adatbázis összes információját a rosszindulatú kapcsolóról replikált információkra, és a teljes hálózat összeomlik.
Ez annak a ténynek köszönhető, hogy a számítógépek hálózati kábellel csatlakoznak egy adott kapcsolóporthoz, amelyhez VLAN 10 vagy VLAN20 van hozzárendelve. Ha ezeket a hálózatokat törli a switch LAN-adatbázisából, az automatikusan letiltja a nem létező hálózathoz tartozó portot. Egy vállalat hálózata jellemzően pontosan azért omolhat össze, mert a kapcsolók egyszerűen letiltják a következő frissítés során eltávolított VLAN-okhoz társított portokat.
Az ilyen problémák elkerülése érdekében be kell állítani egy VTP tartománynevet és jelszót, vagy használni kell a Cisco Port Security szolgáltatást, amely lehetővé teszi a kapcsolóportok MAC-címeinek kezelését, és különféle korlátozásokat vezet be a használatukra. Például, ha valaki más megpróbálja megváltoztatni a MAC-címet, a port azonnal leáll. Hamarosan közelebbről is megvizsgáljuk a Cisco switchek ezen funkcióját, de egyelőre csak annyit kell tudnia, hogy a Port Security lehetővé teszi, hogy megbizonyosodjon arról, hogy a VTP védett a támadókkal szemben.
Foglaljuk össze, mi az a VTP beállítás. Ez a protokoll verziójának kiválasztása - 1 vagy 2, a VTP mód hozzárendelése - szerver, kliens vagy transzparens. Mint már mondtam, az utóbbi mód nem frissíti magának az eszköznek a VLAN-adatbázisát, hanem egyszerűen továbbítja az összes változást a szomszédos eszközöknek. A következő parancsok találhatók a tartománynév és jelszó hozzárendeléséhez: vtp domain <domain name> és vtp password <password>.
Most beszéljünk a VTP metszés beállításairól. Ha megnézzük a hálózati topológiát, láthatjuk, hogy mindhárom kapcsolónak ugyanaz a VLAN-adatbázisa, ami azt jelenti, hogy a VLAN10 és a VLAN20 mind a 3 kapcsoló része. Technikailag az SW2 switch-nek nincs szüksége VLAN20-ra, mert nem rendelkezik ehhez a hálózathoz tartozó portokkal. Ettől függetlenül azonban a Laptop0 számítógépről a VLAN20 hálózaton keresztül küldött összes forgalom az SW1 kapcsolót éri el, és onnan a trönkön keresztül az SW2 portok felé halad. Hálózati szakemberként az Ön fő feladata annak biztosítása, hogy a lehető legkevesebb felesleges adat kerüljön továbbításra a hálózaton. Biztosítania kell a szükséges adatok továbbítását, de hogyan korlátozhatja a készüléknek nem szükséges információk továbbítását?
Gondoskodnia kell arról, hogy a VLAN20-on lévő eszközöknek szánt forgalom ne áramoljon az SW2 portokra a fővonalon keresztül, amikor nincs rá szükség. Vagyis a Laptop0 forgalmának el kell érnie az SW1-et, majd a VLAN20-on lévő számítógépeket, de nem haladhatja meg az SW1 jobb trönkportját. Ezt a VTP Pruning segítségével lehet elérni.
Ehhez a VTP szerver SW0 beállításaiba kell lépnünk, mert ahogy már mondtam, a VTP beállításokat csak a szerveren keresztül lehet elvégezni, menjünk a globális konfigurációs beállításokhoz és írjuk be a vtp pruning parancsot. Mivel a Packet Tracer csak egy szimulációs program, a parancssori promptokban nincs ilyen parancs. Amikor azonban beírom a vtp pruning parancsot, és megnyomom az Enter billentyűt, a rendszer azt jelzi, hogy a vtp metszésmód nem érhető el.
A show vtp status paranccsal látni fogjuk, hogy a VTP-metszés mód letiltott állapotban van, ezért azt az engedélyezési pozícióba mozgatva elérhetővé kell tenni. Ezt követően aktiváljuk a VTP-metszés módot a hálózatunk mindhárom kapcsolóján a hálózati tartományon belül.
Hadd emlékeztesselek, mi az a VTP-metszés. Amikor engedélyezzük ezt a módot, az SW0 kapcsolószerver tájékoztatja az SW2 kapcsolót, hogy csak a VLAN10 van konfigurálva a portjaira. Ezután az SW2 kapcsoló közli az SW1 kapcsolóval, hogy a VLAN10-nek szánt forgalomon kívül nincs szüksége más forgalomra. Most a VTP-metszésnek köszönhetően az SW1 kapcsoló rendelkezik azzal az információval, hogy nem kell VLAN20 forgalmat továbbítania az SW1-SW2 fővonalon.
Ez nagyon kényelmes Önnek, mint hálózati rendszergazdának. Nem kell kézzel beírnia a parancsokat, mert a kapcsoló elég okos ahhoz, hogy pontosan azt küldje el, amire az adott hálózati eszköznek szüksége van. Ha holnap egy másik marketing részleget helyez el a következő épületbe, és a VLAN20 hálózatát csatlakoztatja az SW2 kapcsolóhoz, az a kapcsoló azonnal közli az SW1 kapcsolóval, hogy most VLAN10 és VLAN20 van rajta, és megkéri, hogy továbbítsa a forgalmat mindkét hálózat számára. Ezeket az információkat minden eszközön folyamatosan frissítik, így hatékonyabbá válik a kommunikáció.
Van egy másik módja a forgalom átvitelének meghatározására - ez egy olyan parancs használata, amely csak a megadott VLAN számára engedélyezi az adatátvitelt. Megyek a switch SW1 beállításainál, ahol érdekel a Fa0/4 port, és beírom az int fa0/4 és switchport trunk enabled vlan parancsokat. Mivel már tudom, hogy az SW2-nek csak VLAN10 van, ezért az engedélyezett vlan paranccsal meg tudom mondani az SW1-nek, hogy csak az adott hálózathoz engedélyezze a forgalmat a trönkportján. Tehát beprogramoztam a fővonali Fa0/4 portot, hogy csak a VLAN10-hez vigye a forgalmat. Ez azt jelenti, hogy ez a port nem engedélyez további forgalmat a VLAN1, VLAN20 vagy a megadott hálózaton kívüli más hálózatról.
Kíváncsi lehet, melyiket érdemesebb használni: a VTP-metszés vagy az engedélyezett vlan parancs. A válasz szubjektív, mert bizonyos esetekben célszerű az első módszert használni, más esetekben pedig a másodikat. Hálózati rendszergazdáként Önnek kell kiválasztania a legjobb megoldást. Egyes esetekben az a döntés, hogy egy portot úgy programoznak, hogy engedélyezze a forgalmat egy adott VLAN-ról, jó lehet, más esetekben viszont rossz. Hálózatunk esetében indokolt lehet a megengedett vlan parancs használata, ha nem változtatjuk meg a hálózati topológiát. De ha valaki később VLAN2-at használó eszközcsoportot szeretne hozzáadni az SW 20-hez, akkor célszerűbb a VTP-metszés mód használata.
Tehát a VTP-metszés beállításához a következő parancsokat kell használni. A vtp metszés parancs lehetővé teszi ennek a módnak az automatikus használatát. Ha be szeretné állítani egy fővonali port VTP-metszését, hogy lehetővé tegye egy adott VLAN forgalmának manuális áthaladását, akkor a paranccsal válassza ki a fővonali portszám interfészt <#>, engedélyezze a fővonali mód kapcsolóport mód trönköt, és engedélyezze a forgalom továbbítását. egy adott hálózatra a switchport trunk enabled vlan paranccsal .
Az utolsó parancsban 5 paraméter használható. Minden azt jelenti, hogy a forgalom átvitele minden VLAN számára engedélyezett, egyik sem – az összes VLAN forgalomátvitele tilos. Ha az add paramétert használja, hozzáadhat egy másik hálózat forgalmát. Például engedélyezzük a VLAN10 forgalmat, és az add paranccsal a VLAN20 forgalmat is átengedjük. Az eltávolítás parancs lehetővé teszi az egyik hálózat eltávolítását, például ha az remove 20 paramétert használja, csak a VLAN10 forgalom marad meg.
Most nézzük a natív VLAN-t. Már említettük, hogy a natív VLAN egy virtuális hálózat, amely a címkézetlen forgalmat egy adott fővonali porton keresztül továbbítja.
Bemegyek az adott portbeállításokba, amint azt az SW(config-if)# parancssori fejléc jelzi, és a switchport trunk native vlan <hálózati szám> parancsot használom, például VLAN10. Mostantól a VLAN10 összes forgalma a címkézetlen törzsön keresztül fog haladni.
Térjünk vissza a logikai hálózati topológiához a Packet Tracer ablakban. Ha a switchport trunk natív vlan 20 parancsot használom az Fa0/4-es kapcsolóporton, akkor a VLAN20-on lévő összes forgalom a Fa0/4 – SW2 trönkön keresztül fog címkézni. Amikor az SW2 kapcsoló megkapja ezt a forgalmat, azt gondolja: „ez címkézetlen forgalom, ami azt jelenti, hogy a natív VLAN-hoz kell irányítanom.” Ennél a kapcsolónál a natív VLAN a VLAN1 hálózat. Az 1-es és 20-as hálózatok semmilyen módon nem kapcsolódnak egymáshoz, de mivel natív VLAN módot használunk, lehetőségünk van a VLAN20-as forgalmat egy teljesen más hálózatra irányítani. Ez a forgalom azonban beágyazott lesz, és maguknak a hálózatoknak is meg kell egyezniük.
Nézzük ezt egy példával. Bemegyek az SW1 beállításaiba, és a switchport trunk native vlan 10 parancsot használom. Most minden VLAN10 forgalom címkézetlenül jön ki a trunk porton. Amikor eléri az SW2 fővonali portot, a kapcsoló megérti, hogy továbbítania kell a VLAN1-be. A döntés következtében a forgalom nem érheti el a PC2, 3 és 4 számítógépeket, mivel azok a VLAN10-nek szánt switch access portokhoz csatlakoznak.
Technikailag ez azt jelenti, hogy a rendszer azt jelenti, hogy a VLAN0 részét képező Fa4/10 port natív VLAN-ja nem egyezik a VLAN0 részét képező Fa1/1 porttal. Ez azt jelenti, hogy a megadott portok a natív VLAN eltérése miatt nem fognak tudni trönk üzemmódban működni.
Köszönjük, hogy velünk tartott. Tetszenek cikkeink? További érdekes tartalmakat szeretne látni? Támogass minket rendeléssel vagy ajánlj ismerőseidnek, 30% kedvezmény a Habr felhasználóknak a belépő szintű szerverek egyedülálló analógjára, amelyet mi találtunk ki Önnek: (RAID1 és RAID10, akár 24 maggal és akár 40 GB DDR4-gyel is elérhető).
Dell R730xd kétszer olcsóbb? Csak itt Hollandiában! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollártól! Olvasni valamiről
Forrás: will.com