Oggi esamineremo il protocollo di trunking dinamico DTP e VTP - protocollo di trunking VLAN. Come ho detto nell'ultima lezione, seguiremo gli argomenti dell'esame ICND2 nell'ordine in cui sono elencati sul sito Web di Cisco.
L'ultima volta abbiamo esaminato il punto 1.1 e oggi esamineremo il punto 1.2: configurazione, controllo e risoluzione dei problemi di connessione dello switch di rete: aggiunta e rimozione di VLAN dal trunk e dai protocolli DTP e VTP versioni 1 e 2.
Tutte le porte dello switch predefinite sono configurate per impostazione predefinita per utilizzare la modalità Dynamic Auto del protocollo DTP. Ciò significa che quando sono collegate due porte di switch diversi, viene automaticamente attivato un trunk tra di loro se una delle porte è in modalità trunk o desiderata. Se le porte di entrambi gli switch sono in modalità Dynamic Auto, il trunk non viene formato.
Tutto dipende quindi dall'impostazione delle modalità operative di ciascuno dei 2 interruttori. Per facilità di comprensione, ho creato una tabella con le possibili combinazioni delle modalità DTP di due switch. Vedi che se entrambi gli interruttori utilizzano Dynamic Auto, non formeranno un trunk, ma rimarranno in modalità Access. Pertanto, se si desidera creare una linea tra due switch, è necessario programmare almeno uno degli switch in modalità Trunk oppure programmare la porta trunk in modo che utilizzi la modalità Dynamic Desired. Come si può vedere dalla tabella, ciascuna porta dello switch può trovarsi in una delle 4 modalità: Access, Dynamic Auto, Dynamic Desirable o Trunk.
Se entrambe le porte sono configurate per l'Accesso, gli switch collegati utilizzeranno la modalità Accesso. Se una porta è configurata per Dynamic Auto e l'altra per Access, entrambe funzioneranno in modalità Access. Se una porta funziona in modalità Accesso e l'altra in modalità Trunk, non sarà possibile collegare gli switch, quindi non è possibile utilizzare questa combinazione di modalità.
Pertanto, affinché il trunking funzioni, è necessario che una delle porte dello switch sia programmata per Trunk e l'altra per Trunk, Dynamic Auto o Dynamic Desirable. Viene formato un trunk anche se entrambe le porte sono configurate su Dynamic Desirable.
La differenza tra Dynamic Desirable e Dynamic Auto è che nella prima modalità, la porta stessa avvia il trunk, inviando frame DTP alla porta del secondo switch. Nella seconda modalità, la porta dello switch attende finché qualcuno non inizia a comunicare con essa e, se le porte di entrambi gli switch sono configurate su Dynamic Auto, non si formerà mai un trunk tra di loro. Nel caso di Dynamic Desirable, la situazione è opposta: se entrambe le porte sono configurate per questa modalità, tra di loro verrà necessariamente formato un trunk.
Ti consiglio di ricordare questa tabella, poiché ti aiuterà a configurare correttamente gli switch collegati tra loro. Diamo un'occhiata a questo aspetto nel programma Packet Tracer. Ho collegato 3 switch insieme in serie e ora visualizzerò sullo schermo le finestre della console CLI per ciascuno di questi dispositivi.
Se inserisco il comando show int trunk, non vedremo alcun trunk, il che è del tutto naturale in assenza delle impostazioni necessarie, poiché tutti gli switch sono configurati per la modalità Dynamic Auto. Se chiedo di mostrare i parametri dell'interfaccia f0/1 dell'interruttore centrale, vedrai che nella modalità delle impostazioni amministrative è elencato il parametro automatico dinamico.
Il terzo e il primo switch hanno impostazioni simili: hanno anche la porta f0/1 in modalità automatica dinamica. Se ricordi la tabella, per il trunking tutte le porte devono essere in modalità trunk oppure una delle porte deve essere in modalità Dynamic Desirable.
Entriamo nelle impostazioni del primo switch SW0 e configuriamo la porta f0/1. Dopo aver immesso il comando della modalità switchport, il sistema richiederà i possibili parametri della modalità: accesso, dinamica o trunk. Utilizzo il comando desiderabile dinamico della modalità switchport e puoi notare come la porta trunk f0/1 del secondo switch, dopo aver immesso questo comando, è andata prima nello stato inattivo e poi, dopo aver ricevuto il frame DTP del primo switch, è andata nello stato attivo.
Se ora inseriamo il comando show int trunk nella console CLI dello switch SW1, vedremo che la porta f0/1 è nello stato trunking. Inserisco lo stesso comando nella console dello switch SW1 e vedo le stesse informazioni, ovvero ora è installato un trunk tra gli switch SW0 e SW1. In questo caso, la porta del primo switch è in modalità desiderata e la porta del secondo è in modalità automatica.
Non c'è connessione tra il secondo e il terzo interruttore, quindi vado alle impostazioni del terzo interruttore e inserisco il comando switchport modalità dinamica desiderabile. Vedi che nel secondo switch si sono verificati gli stessi cambiamenti di stato down-up, solo che ora toccano la porta f0/2, a cui è collegato lo switch 3. Ora il secondo switch ha due trunk: uno sull'interfaccia f0/1, il secondo su f0/2. Questo può essere visto se usi il comando show int trunk.
Entrambe le porte del secondo switch sono nello stato automatico, cioè per il trunking con switch vicini, le loro porte devono essere in modalità trunk o desiderata, perché in questo caso ci sono solo 2 modalità per stabilire un trunk. Utilizzando la tabella è sempre possibile configurare le porte dello switch in modo tale da organizzare un trunk tra di loro. Questa è l'essenza dell'utilizzo del protocollo di trunking dinamico DTP.
Iniziamo a esaminare il protocollo trunking VLAN o VTP. Questo protocollo garantisce la sincronizzazione dei database VLAN di diversi dispositivi di rete, effettuando il trasferimento del database VLAN aggiornato da un dispositivo all'altro. Torniamo al nostro circuito di 3 interruttori. VTP può funzionare in 3 modalità: server, client e trasparente. VTP v3 ha un'altra modalità chiamata Off, ma l'esame Cisco copre solo le versioni VTP XNUMX e XNUMX.
La modalità server viene utilizzata per creare nuove VLAN, eliminare o modificare reti tramite la riga di comando dello switch. In modalità client non è possibile eseguire alcuna operazione sulle VLAN; in questa modalità viene aggiornato solo il database delle VLAN dal server. La modalità trasparente funziona come se il protocollo VTP fosse disabilitato, ovvero lo switch non emette i propri messaggi VTP, ma trasmette aggiornamenti da altri switch: se un aggiornamento arriva su una delle porte dello switch, lo passa attraverso se stesso e invia collegarlo ulteriormente alla rete attraverso un'altra porta. In modalità trasparente lo switch funge semplicemente da trasmettitore dei messaggi di altre persone senza aggiornare il proprio database VLAN.
In questa diapositiva vengono visualizzati i comandi di configurazione del protocollo VTP immessi in modalità di configurazione globale. Il primo comando può modificare la versione del protocollo utilizzato. Il secondo comando seleziona la modalità operativa VTP.
Se desideri creare un dominio VTP, utilizza il comando vtp domain <nome dominio> e per impostare la password VTP devi inserire il comando vtp password <PASSWORD>. Andiamo alla console CLI del primo switch e osserviamo lo stato VTP inserendo il comando show vtp status.
Si vede che la versione del protocollo VTP è la seconda, il numero massimo di VLAN supportate è 255, il numero di VLAN esistenti è 5 e la modalità operativa VLAN è server. Queste sono tutte le impostazioni predefinite. Abbiamo già discusso del VTP nella lezione del giorno 30, quindi se hai dimenticato qualcosa, puoi tornare indietro e guardare di nuovo questo video.
Per vedere il database VLAN, emetto il comando show vlan brief. VLAN1 e VLAN1002-1005 sono mostrati qui. Per impostazione predefinita, tutte le interfacce libere dello switch sono collegate alla prima rete: 23 porte Fast Ethernet e 2 porte Gigabit Ethernet, le restanti 4 VLAN non sono supportate. I database VLAN degli altri due switch sembrano esattamente uguali, tranne che SW1 non ha 23, ma 22 porte Fast Ethernet libere per VLAN, poiché f0/1 e f0/2 sono occupate da trunk. Permettimi di ricordarti ancora una volta ciò che è stato discusso nella lezione "Giorno 30": il protocollo VTP supporta solo l'aggiornamento dei database VLAN.
Se configuro più porte per utilizzare VLAN con i comandi accesso switchport e accesso in modalità switchport VLAN10, VLAN20 o VLAN30, la configurazione di tali porte non verrà replicata da VTP perché VTP aggiorna solo il database VLAN.
Pertanto, se una delle porte SW1 è configurata per funzionare con VLAN20, ma questa rete non è nel database VLAN, la porta verrà disabilitata. A loro volta, gli aggiornamenti del database avvengono solo quando si utilizza il protocollo VTP.
Utilizzando il comando show vtp status, vedo che tutti e 3 gli switch sono ora in modalità server. Commuterò l'interruttore centrale SW1 in modalità trasparente con il comando vtp mode trasparente e il terzo interruttore SW2 in modalità client con il comando vtp mode client.
Ora torniamo al primo switch SW0 e creiamo il dominio nwking.org utilizzando il comando vtp domain <domain name>. Se ora guardi lo stato VTP del secondo switch, che è in modalità trasparente, puoi vedere che non ha reagito in alcun modo alla creazione del dominio: il campo Nome dominio VTP è rimasto vuoto. Tuttavia, il terzo switch, che è in modalità client, ha aggiornato il suo database e ora ha il nome di dominio VTP-nwking.org. Pertanto, l'aggiornamento del database dello switch SW0 è passato attraverso SW1 e si è riflesso in SW2.
Adesso proverò a cambiare il nome di dominio specificato, per il quale andrò nelle impostazioni SW0 e digiterò il comando vtp domain NetworKing. Come puoi vedere, questa volta non c'è stato alcun aggiornamento: il nome del dominio VTP sul terzo switch è rimasto lo stesso. Il fatto è che tale aggiornamento del nome di dominio avviene solo una volta, quando cambia il dominio predefinito. Se successivamente il nome di dominio VTP cambia nuovamente, sarà necessario modificarlo manualmente sui restanti switch.
Ora creerò una nuova rete VLAN100 nella console CLI del primo switch e la chiamerò IMRAN. È apparso nel database VLAN del primo switch, ma non nel database del terzo switch, poiché si tratta di domini diversi. Ricorda che l'aggiornamento del database VLAN avviene solo se entrambi gli switch hanno lo stesso dominio oppure, come ho mostrato prima, viene impostato un nuovo nome di dominio al posto del nome predefinito.
Entro nelle impostazioni di 3 interruttori e inserisco in sequenza i comandi NetworKing della modalità vtp e del dominio vtp. Tieni presente che l'inserimento del nome fa distinzione tra maiuscole e minuscole, quindi l'ortografia del nome di dominio deve essere esattamente la stessa per entrambi gli switch. Ora ho rimesso SW2 in modalità client utilizzando il comando client modalità vtp. Vediamo cosa succede. Come puoi vedere, ora, se il nome di dominio corrisponde, il database SW2 è stato aggiornato e al suo interno è apparsa una nuova rete VLAN100 IMRAN, e queste modifiche non hanno alcun effetto sullo switch medio, perché è in modalità trasparente.
Se vuoi proteggerti da accessi non autorizzati, puoi creare una password VTP. Bisogna però essere sicuri che il dispositivo dall'altra parte abbia esattamente la stessa password, perché solo in questo caso potrà accettare gli aggiornamenti VTP.
La prossima cosa che esamineremo è la potatura VTP, o “potatura” delle VLAN inutilizzate. Se sulla rete sono presenti 100 dispositivi che utilizzano VTP, l'aggiornamento del database VLAN su un dispositivo verrà automaticamente replicato sugli altri 99 dispositivi. Tuttavia, non tutti questi dispositivi dispongono delle VLAN menzionate nell'aggiornamento, pertanto le informazioni su di essi potrebbero non essere necessarie.
L'invio degli aggiornamenti del database VLAN ai dispositivi tramite VTP significa che tutte le porte su tutti i dispositivi riceveranno informazioni sulle VLAN aggiunte, rimosse e modificate con cui potrebbero non avere nulla a che fare. Allo stesso tempo, la rete si intasa di traffico in eccesso. Per evitare che ciò accada, viene utilizzato il concetto di ritaglio VTP. Per abilitare la modalità "pruning" delle VLAN irrilevanti sullo switch, utilizzare il comando vtp pruning. Gli switch si diranno quindi automaticamente quale VLAN stanno effettivamente utilizzando, avvisando così i vicini che non hanno bisogno di inviare aggiornamenti alle reti a loro non connesse.
Ad esempio, se SW2 non dispone di porte VLAN10, non è necessario che SW1 gli invii il traffico per quella rete. Allo stesso tempo, lo switch SW1 necessita di traffico VLAN10 perché una delle sue porte è connessa a questa rete, semplicemente non ha bisogno di inviare questo traffico allo switch SW2.
Quindi, se SW2 utilizza la modalità di potatura vtp, dice a SW1: "per favore non inviarmi traffico per VLAN10 perché questa rete non è connessa a me e nessuna delle mie porte è configurata per funzionare con questa rete". Questo è ciò che fa l'utilizzo del comando di potatura vtp.
Esiste un altro modo per filtrare il traffico per un'interfaccia specifica. Consente di configurare una porta su un trunk con una VLAN specifica. Lo svantaggio di questo metodo è la necessità di configurare manualmente ciascuna porta del trunk, in cui sarà necessario specificare quali VLAN sono consentite e quali sono vietate. Per fare ciò viene utilizzata una sequenza di 3 comandi. Il primo indica l'interfaccia interessata da queste restrizioni, il secondo trasforma questa interfaccia in una porta trunk e il terzo - switchport trunk aware vlan < all/none/add/remove/VLAN number> - mostra quale VLAN è consentita su questa porta: tutti, nessuno, VLAN da aggiungere o VLAN da eliminare.
A seconda della situazione specifica, scegli cosa utilizzare: potatura VTP o Trunk consentito. Alcune organizzazioni preferiscono non utilizzare VTP per motivi di sicurezza, quindi scelgono di configurare manualmente il trunking. Poiché il comando di potatura vtp non funziona in Packet Tracer, lo mostrerò nell'emulatore GNS3.
Se si entra nelle impostazioni di SW2 e si immette il comando vtp pruning, il sistema segnalerà immediatamente che questa modalità è abilitata: Pruning attivato, ovvero si attiva il “pruning” della VLAN con un solo comando.
Se digitiamo il comando show vtp status, vedremo che la modalità di potatura vtp è abilitata.
Se stai configurando questa modalità su un server switch, vai alle sue impostazioni e inserisci il comando vtp pruning. Ciò significa che i dispositivi connessi al server utilizzeranno automaticamente l'eliminazione vtp per ridurre al minimo il traffico trunking per VLAN irrilevanti.
Se non si desidera utilizzare questa modalità, è necessario accedere a un'interfaccia specifica, ad esempio e0/0, quindi eseguire il comando switchport trunk aware vlan. Il sistema ti fornirà suggerimenti sui possibili parametri per questo comando:
— WORD — Numero VLAN consentito su questa interfaccia in modalità trunk;
— aggiungi — VLAN da aggiungere all'elenco del database VLAN;
— all — consente tutte le VLAN;
— tranne — consente tutte le VLAN tranne quelle specificate;
— nessuna: vieta tutte le VLAN;
— rimuovi: rimuove una VLAN dall'elenco dei database VLAN.
Ad esempio, se disponiamo di un trunk consentito per VLAN10 e desideriamo consentirlo per la rete VLAN20, è necessario immettere il comando switchport trunk aware vlan add 20.
Voglio mostrarti qualcos'altro, quindi utilizzo il comando show interfacce trunk. Tieni presente che per impostazione predefinita tutte le VLAN 1-1005 erano consentite per il trunk e ora ad esse è stata aggiunta la VLAN10.
Se utilizzo il comando trunk switchport consentito vlan add 20 e chiedo nuovamente di mostrare lo stato del trunk, possiamo vedere che il trunk ora ha due reti consentite: VLAN10 e VLAN20.
In questo caso nessun altro traffico, ad eccezione di quello destinato alle reti specificate, potrà passare attraverso questo trunk. Consentendo il traffico solo per VLAN 10 e VLAN 20, abbiamo negato il traffico per tutte le altre VLAN. Ecco come configurare manualmente le impostazioni del trunking per una VLAN specifica su un'interfaccia dello switch specifica.
Tieni presente che fino alla fine della giornata del 17 novembre 2017, abbiamo uno sconto del 90% sul costo del download dei lavori di laboratorio su questo argomento sul nostro sito Web.
Grazie per l'attenzione e alla prossima video lezione!
Grazie per stare con noi. Ti piacciono i nostri articoli? Vuoi vedere contenuti più interessanti? Sostienici effettuando un ordine o raccomandando agli amici, Sconto del 30% per gli utenti Habr su un analogo unico di server entry-level, che è stato inventato da noi per te: (disponibile con RAID1 e RAID10, fino a 24 core e fino a 40 GB DDR4).
Dell R730xd 2 volte più economico? Solo qui In Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - da $99! Leggi
Fonte: habr.com