Oggi continueremo la nostra discussione sulle VLAN e discuteremo del protocollo VTP, nonché dei concetti di potatura VTP e VLAN nativa. Abbiamo già parlato di VTP in uno dei video precedenti e la prima cosa che ti verrà in mente quando senti parlare di VTP è che non è un protocollo di trunking, nonostante sia chiamato "protocollo di trunking VLAN".
Come sapete, esistono due protocolli di trunking popolari: il protocollo proprietario Cisco ISL, che oggi non viene utilizzato, e il protocollo 802.q, che viene utilizzato nei dispositivi di rete di vari produttori per incapsulare il traffico di trunking. Questo protocollo viene utilizzato anche negli switch Cisco. Abbiamo già detto che VTP è un protocollo di sincronizzazione VLAN, ovvero è progettato per sincronizzare il database VLAN su tutti gli switch di rete.
Abbiamo menzionato diverse modalità VTP: server, client, trasparente. Se il dispositivo utilizza la modalità server, ciò consente di apportare modifiche, aggiungere o rimuovere VLAN. La modalità client non consente di apportare modifiche alle impostazioni dello switch, è possibile configurare il database VLAN solo tramite il server VTP e verrà replicato su tutti i client VTP. Uno switch in modalità trasparente non apporta modifiche al proprio database VLAN, ma semplicemente attraversa se stesso e trasferisce le modifiche al dispositivo successivo in modalità client. Questa modalità è simile alla disabilitazione di VTP su un dispositivo specifico, trasformandolo in un trasportatore di informazioni sulle modifiche della VLAN.
Torniamo al programma Packet Tracer e alla topologia di rete discussa nella lezione precedente. Abbiamo configurato una rete VLAN10 per il reparto vendite e una rete VLAN20 per il reparto marketing, abbinandole a tre switch.
Tra gli switch SW0 e SW1 la comunicazione viene effettuata sulla rete VLAN20, e tra SW0 e SW2 c'è la comunicazione sulla rete VLAN10 grazie al fatto che abbiamo aggiunto VLAN10 al database VLAN dello switch SW1.
Per considerare il funzionamento del protocollo VTP, utilizziamo uno degli switch come server VTP, lasciamo che sia SW0. Se ricordi, per impostazione predefinita tutti gli switch funzionano in modalità server VTP. Andiamo al terminale della riga di comando dello switch e inseriamo il comando show vtp status. Vedi che la versione corrente del protocollo VTP è 2 e il numero di revisione della configurazione è 4. Se ricordi, ogni volta che vengono apportate modifiche al database VTP, il numero di revisione aumenta di uno.
Il numero massimo di VLAN supportate è 255. Questo numero dipende dalla marca dello specifico switch Cisco, poiché switch diversi possono supportare numeri diversi di reti virtuali locali. Il numero di VLAN esistenti è 7, tra un minuto vedremo quali sono queste reti. La modalità di controllo VTP è server, il nome di dominio non è impostato, la modalità VTP Pruning è disabilitata, torneremo su questo più tardi. Anche le modalità VTP V2 e VTP Traps Generation sono disabilitate. Non è necessario conoscere le ultime due modalità per superare l'esame CCNA 200-125, quindi non preoccuparti di loro.
Diamo un'occhiata al database VLAN utilizzando il comando show vlan. Come abbiamo già visto nel video precedente, abbiamo 4 reti non supportate: 1002, 1003, 1004 e 1005.
Elenca anche le 2 reti che abbiamo creato, VLAN10 e 20, e la rete predefinita, VLAN1. Passiamo ora a un altro interruttore e inseriamo lo stesso comando per visualizzare lo stato VTP. Vedi che il numero di revisione di questo switch è 3, è in modalità server VTP e tutte le altre informazioni sono simili al primo switch. Quando inserisco il comando show VLAN, posso vedere che abbiamo apportato 2 modifiche alle impostazioni, una in meno rispetto allo switch SW0, motivo per cui il numero di revisione di SW1 è 3. Abbiamo apportato 3 modifiche alle impostazioni predefinite del primo switch, pertanto il suo numero di revisione è aumentato a 4.
Ora diamo un'occhiata allo stato di SW2. Il numero di revisione qui è 1, il che è strano. Dobbiamo avere una seconda revisione perché è stata apportata 1 modifica alle impostazioni. Diamo un'occhiata al database VLAN.
Abbiamo apportato una modifica, creando VLAN10, e non so perché tali informazioni non siano state aggiornate. Forse questo è successo perché non abbiamo una rete reale, ma un simulatore di rete software, che potrebbe contenere degli errori. Quando avrai l'opportunità di lavorare con dispositivi reali durante il tirocinio presso Cisco, ti aiuterà più del simulatore di Packet Tracer. Un'altra cosa utile in assenza di dispositivi reali sarebbe GNC3, ovvero un simulatore grafico di rete Cisco. Si tratta di un emulatore che utilizza il sistema operativo reale di un dispositivo, ad esempio un router. C'è differenza tra un simulatore e un emulatore: il primo è un programma che assomiglia a un vero router, ma non lo è. Il software dell'emulatore crea solo il dispositivo stesso, ma utilizza un software reale per farlo funzionare. Ma se non hai la possibilità di eseguire il software Cisco IOS effettivo, Packet Tracer è la soluzione migliore.
Quindi, dobbiamo configurare SW0 come server VTP, per questo entro nella modalità di configurazione delle impostazioni globali e inserisco il comando vtp versione 2. Come ho detto, possiamo installare la versione del protocollo di cui abbiamo bisogno - 1 o 2, in questo caso abbiamo bisogno di una seconda versione. Successivamente, utilizzando il comando vtp mode, impostiamo la modalità VTP dello switch: server, client o trasparente. In questo caso, abbiamo bisogno della modalità server e, dopo aver inserito il comando vtp mode server, il sistema visualizza un messaggio che il dispositivo è già in modalità server. Successivamente, dobbiamo configurare un dominio VTP, per il quale utilizziamo il comando vtp domain nwking.org. Perché è necessario? Se sulla rete è presente un altro dispositivo con un numero di revisione più alto, tutti gli altri dispositivi con un numero di revisione inferiore iniziano a replicare il database VLAN da quel dispositivo. Ciò però avviene solo se i dispositivi hanno lo stesso nome di dominio. Ad esempio, se lavori presso nwking.org, indichi questo dominio, se presso Cisco, quindi il dominio cisco.com e così via. Il nome di dominio dei dispositivi della tua azienda ti consente di distinguerli dai dispositivi di un'altra azienda o da eventuali altri dispositivi esterni in rete. Quando assegni il nome di dominio di un'azienda a un dispositivo, lo rendi parte della rete di quell'azienda.
La prossima cosa da fare è impostare la password VTP. È necessario affinché un hacker, dotato di un dispositivo con un numero di revisione elevato, non possa copiare le sue impostazioni VTP sul tuo switch. Inserisco la password Cisco utilizzando il comando vtp password Cisco. Successivamente, la replica dei dati VTP tra gli switch sarà possibile solo se le password corrispondono. Se viene utilizzata la password errata, il database VLAN non verrà aggiornato.
Proviamo a creare altre VLAN. Per fare questo utilizzo il comando config t, utilizzo il comando vlan 200 per creare una rete numero 200, le do il nome TEST e salvo le modifiche con il comando exit. Quindi creo un altro vlan 500 e lo chiamo TEST1. Se ora inserisci il comando show vlan, nella tabella delle reti virtuali dello switch puoi vedere queste due nuove reti, alle quali non è assegnata una sola porta.
Passiamo a SW1 e vediamo il suo stato VTP. Vediamo che qui non è cambiato nulla tranne il nome del dominio, il numero di VLAN rimane uguale a 7. Non vediamo apparire le reti che abbiamo creato perché la password VTP non corrisponde. Impostiamo la password VTP su questo switch inserendo in sequenza i comandi conf t, vtp pass e vtp password Cisco. Il sistema ha segnalato che il database VLAN del dispositivo ora utilizza la password Cisco. Diamo un'altra occhiata allo stato VTP per verificare se le informazioni sono state replicate. Come puoi vedere, il numero di VLAN esistenti è automaticamente aumentato a 9.
Se guardi il database VLAN di questo switch, puoi vedere che le reti VLAN200 e VLAN500 che abbiamo creato sono apparse automaticamente al suo interno.
Lo stesso deve essere fatto con l'ultimo interruttore SW2. Inseriamo il comando show vlan: puoi vedere che non si sono verificate modifiche in esso. Allo stesso modo, non vi è alcun cambiamento nello stato VTP. Affinché questo interruttore aggiorni le informazioni, è inoltre necessario impostare una password, ovvero inserire gli stessi comandi di SW1. Successivamente, il numero di VLAN nello stato SW2 aumenterà a 9.
A questo serve la VTP. Questa è un'ottima cosa che aggiorna automaticamente le informazioni in tutti i dispositivi di rete client dopo aver apportato modifiche al dispositivo server. Non è necessario apportare manualmente modifiche al database VLAN di tutti gli switch: la replica avviene automaticamente. Se disponi di 200 dispositivi di rete, le modifiche apportate verranno salvate su tutti i duecento dispositivi contemporaneamente. Per ogni evenienza, dobbiamo assicurarci che SW2 sia anche un client VTP, quindi entriamo nelle impostazioni con il comando config t e inseriamo il comando client modalità vtp.
Pertanto, nella nostra rete solo il primo switch è in modalità VTP Server, gli altri due operano in modalità VTP Client. Se ora entro nelle impostazioni SW2 e inserisco il comando vlan 1000, riceverò il messaggio: “la configurazione della VLAN VTP non è consentita quando il dispositivo è in modalità client”. Pertanto, non posso apportare alcuna modifica al database VLAN se lo switch è in modalità client VTP. Se voglio apportare modifiche, devo andare allo switch server.
Vado nelle impostazioni del terminale SW0 e inserisco i comandi vlan 999, nome IMRAN ed esco. Questa nuova rete è apparsa nel database VLAN di questo switch e se ora vado nel database dello switch client SW2, vedrò che qui sono apparse le stesse informazioni, ovvero è avvenuta la replica.
Come ho detto, VTP è un ottimo software, ma se utilizzato in modo errato può interrompere un’intera rete. Occorre quindi prestare molta attenzione nel maneggiare la rete aziendale se non sono impostati nome dominio e password VTP. In questo caso l'hacker non dovrà fare altro che collegare il cavo del suo switch ad una presa di rete a muro, collegarsi ad un qualsiasi switch dell'ufficio utilizzando il protocollo DTP e poi, utilizzando il trunk creato, aggiornare tutte le informazioni utilizzando il protocollo VTP . In questo modo un hacker può eliminare tutte le VLAN importanti, approfittando del fatto che il numero di revisione del suo dispositivo è superiore al numero di revisione di altri switch. In questo caso, gli switch dell'azienda sostituiranno automaticamente tutte le informazioni del database VLAN con le informazioni replicate dallo switch dannoso e l'intera rete collasserà.
Ciò è dovuto al fatto che i computer sono collegati tramite un cavo di rete a una specifica porta dello switch a cui è assegnata la VLAN 10 o VLAN20. Se queste reti vengono cancellate dal database LAN dello switch, verrà automaticamente disabilitata la porta appartenente alla rete inesistente. In genere, la rete di un'azienda può collassare proprio perché gli switch disabilitano semplicemente le porte associate alle VLAN rimosse durante il successivo aggiornamento.
Per evitare che si verifichi un problema del genere, è necessario impostare un nome di dominio e una password VTP oppure utilizzare la funzionalità Cisco Port Security, che consente di gestire gli indirizzi MAC delle porte dello switch, introducendo varie restrizioni sul loro utilizzo. Ad esempio, se qualcun altro tenta di modificare l'indirizzo MAC, la porta verrà immediatamente disattivata. Molto presto daremo un'occhiata più da vicino a questa funzionalità degli switch Cisco, ma per ora tutto ciò che devi sapere è che Port Security ti consente di assicurarti che VTP sia protetto da un utente malintenzionato.
Riassumiamo cos'è un'impostazione VTP. Questa è la scelta della versione del protocollo - 1 o 2, l'assegnazione della modalità VTP - server, client o trasparente. Come ho già detto, quest'ultima modalità non aggiorna il database VLAN del dispositivo stesso, ma trasmette semplicemente tutte le modifiche ai dispositivi vicini. Di seguito i comandi per assegnare nome dominio e password: vtp domain <nome dominio> e vtp password <password>.
Ora parliamo delle impostazioni di potatura VTP. Se osservi la topologia della rete, puoi vedere che tutti e tre gli switch hanno lo stesso database VLAN, il che significa che VLAN10 e VLAN20 fanno parte di tutti e 3 gli switch. Tecnicamente lo switch SW2 non necessita della VLAN20 perché non dispone di porte appartenenti a questa rete. Tuttavia, indipendentemente da ciò, tutto il traffico inviato dal computer Laptop0 tramite la rete VLAN20 raggiunge lo switch SW1 e da esso passa attraverso il trunk fino alle porte SW2. Il tuo compito principale come specialista di rete è garantire che in rete vengano trasmessi il minor numero possibile di dati non necessari. È necessario assicurarsi che vengano trasmessi i dati necessari, ma come limitare la trasmissione delle informazioni che non sono necessarie al dispositivo?
È necessario garantire che il traffico destinato ai dispositivi sulla VLAN20 non fluisca verso le porte SW2 attraverso il trunk quando non è richiesto. Cioè, il traffico Laptop0 dovrebbe raggiungere SW1 e poi i computer su VLAN20, ma non dovrebbe andare oltre la porta trunk destra di SW1. Ciò può essere ottenuto utilizzando la potatura VTP.
Per fare ciò dobbiamo andare alle impostazioni del server VTP SW0, perché come ho già detto le impostazioni VTP possono essere effettuate solo tramite il server, andare alle impostazioni di configurazione globale e digitare il comando vtp pruning. Poiché Packet Tracer è solo un programma di simulazione, non esiste un comando simile nei prompt della riga di comando. Tuttavia, quando digito vtp potatura e premo Invio, il sistema mi dice che la modalità di potatura vtp non è disponibile.
Utilizzando il comando show vtp status, vedremo che la modalità VTP Pruning è nello stato disabilitato, quindi dobbiamo renderla disponibile spostandola nella posizione di abilitazione. Fatto ciò attiviamo la modalità VTP Pruning su tutti e tre gli switch della nostra rete all'interno del dominio di rete.
Lascia che ti ricordi cos'è la potatura VTP. Quando abilitiamo questa modalità, lo switch server SW0 informa lo switch SW2 che solo VLAN10 è configurato sulle sue porte. Successivamente, lo switch SW2 comunica allo switch SW1 che non necessita di traffico diverso dal traffico destinato alla VLAN10. Ora, grazie al VTP Pruning, lo switch SW1 ha l'informazione di non aver bisogno di inviare traffico VLAN20 lungo il trunk SW1-SW2.
Questo è molto conveniente per te come amministratore di rete. Non è necessario inserire manualmente i comandi perché lo switch è abbastanza intelligente da inviare esattamente ciò di cui ha bisogno il dispositivo di rete specifico. Se domani metti un altro reparto marketing nell'edificio successivo e colleghi la sua rete VLAN20 allo switch SW2, quello switch dirà immediatamente allo switch SW1 che ora ha VLAN10 e VLAN20 e gli chiederà di inoltrare il traffico per entrambe le reti. Queste informazioni vengono costantemente aggiornate su tutti i dispositivi, rendendo la comunicazione più efficiente.
Esiste un altro modo per specificare la trasmissione del traffico: utilizzare un comando che consenta la trasmissione dei dati solo per la VLAN specificata. Vado nelle impostazioni dello switch SW1, dove mi interessa la porta Fa0/4, e inserisco i comandi int fa0/4 e switchport trunk aware vlan. Poiché so già che SW2 ha solo VLAN10, posso dire a SW1 di consentire solo il traffico per quella rete sulla sua porta trunk utilizzando il comando aware vlan. Quindi ho programmato la porta trunk Fa0/4 per trasportare il traffico solo per VLAN10. Ciò significa che questa porta non consentirà il traffico da VLAN1, VLAN20 o qualsiasi altra rete diversa da quella specificata.
Forse ti starai chiedendo quale sia meglio usare: VTP Pruning o il comando vlan consentito. La risposta è soggettiva perché in alcuni casi ha senso utilizzare il primo metodo, in altri ha senso utilizzare il secondo. In qualità di amministratore di rete, spetta a te scegliere la soluzione migliore. In alcuni casi, la decisione di programmare una porta per consentire il traffico da una specifica VLAN può essere positiva, ma in altri può essere negativa. Nel caso della nostra rete, l'utilizzo del comando aware vlan può essere giustificato se non intendiamo modificare la topologia della rete. Ma se in seguito qualcuno volesse aggiungere al SW 2 un gruppo di dispositivi che utilizzano VLAN20, sarebbe più consigliabile utilizzare la modalità VTP Pruning.
Pertanto, l'impostazione della potatura VTP implica l'utilizzo dei seguenti comandi. Il comando di potatura vtp fornisce l'uso automatico di questa modalità. Se si desidera configurare il VTP Pruning di una porta trunk per consentire il passaggio manuale del traffico di una VLAN specifica, utilizzare il comando per selezionare l'interfaccia del numero di porta trunk <#>, abilitare la modalità trunk switchport mode trunk e consentire la trasmissione del traffico a una rete specifica utilizzando il comando vlan consentito dal trunk switchport .
Nell'ultimo comando è possibile utilizzare 5 parametri. Tutti significa che è consentita la trasmissione del traffico per tutte le VLAN, nessuna: la trasmissione del traffico per tutte le VLAN è vietata. Se utilizzi il parametro add, puoi aggiungere il throughput del traffico per un'altra rete. Ad esempio, consentiamo il traffico VLAN10 e con il comando add possiamo consentire anche il passaggio del traffico VLAN20. Il comando rimuovi ti consente di rimuovere una delle reti, ad esempio, se utilizzi il parametro rimuovi 20, rimarrà solo il traffico VLAN10.
Ora diamo un'occhiata alla VLAN nativa. Abbiamo già detto che la VLAN nativa è una rete virtuale per far passare il traffico senza tag attraverso una porta trunk specifica.
Entro nelle impostazioni specifiche della porta come indicato dall'intestazione della riga di comando SW(config-if)# e utilizzo il comando switchport trunk native vlan <network number>, ad esempio VLAN10. Ora tutto il traffico su VLAN10 passerà attraverso il trunk senza tag.
Torniamo alla topologia logica della rete nella finestra Packet Tracer. Se utilizzo il comando vlan 20 nativo del trunk switchport sulla porta dello switch Fa0/4, tutto il traffico su VLAN20 scorrerà attraverso il trunk Fa0/4 – SW2 senza tag. Quando lo switch SW2 riceve questo traffico, penserà: "questo è traffico senza tag, il che significa che dovrei instradarlo alla VLAN nativa". Per questo switch, la VLAN nativa è la rete VLAN1. Le reti 1 e 20 non sono collegate in alcun modo, ma poiché viene utilizzata la modalità VLAN nativa, abbiamo la possibilità di instradare il traffico VLAN20 su una rete completamente diversa. Tuttavia, questo traffico non sarà incapsulato e le reti stesse dovranno comunque corrispondere.
Consideriamolo con un esempio. Entrerò nelle impostazioni di SW1 e utilizzerò il comando switchport trunk nativo vlan 10. Ora tutto il traffico VLAN10 uscirà dalla porta del trunk senza tag. Quando raggiunge la porta trunk SW2, lo switch capirà che deve inoltrarlo alla VLAN1. A seguito di questa decisione, il traffico non potrà raggiungere i computer PC2, 3 e 4, poiché sono collegati alle porte di accesso dello switch destinate alla VLAN10.
Tecnicamente, questo farà sì che il sistema segnali che la VLAN nativa della porta Fa0/4, che fa parte della VLAN10, non corrisponde alla porta Fa0/1, che fa parte della VLAN1. Ciò significa che le porte specificate non saranno in grado di funzionare in modalità trunk a causa di una mancata corrispondenza della VLAN nativa.
Grazie per stare con noi. Ti piacciono i nostri articoli? Vuoi vedere contenuti più interessanti? Sostienici effettuando un ordine o raccomandando agli amici, Sconto del 30% per gli utenti Habr su un analogo unico di server entry-level, che è stato inventato da noi per te: (disponibile con RAID1 e RAID10, fino a 24 core e fino a 40 GB DDR4).
Dell R730xd 2 volte più economico? Solo qui In Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - da $99! Leggi
Fonte: habr.com