🥇Cisco 200-125 CCNA v3.0 トレーニング。 14 日目: VTP、プルーニング、ネイティブ VLAN

今日は、VLAN の説明を続け、VTP プロトコル、および VTP プルーニングとネイティブ VLAN の概念について説明します。 VTP については、以前のビデオの XNUMX つですでに説明しましたが、VTP について聞いて最初に思い浮かぶのは、「VLAN トランキングプロトコル」と呼ばれているにもかかわらず、それがトランキングプロトコルではないということです。

ご存知のとおり、一般的なトランキングプロトコルは 802 つあります。XNUMX つは現在は使用されていない独自の Cisco ISL プロトコル、もう XNUMX つはトランキングトラフィックをカプセル化するためにさまざまなメーカーのネットワークデバイスで使用されている XNUMX.q プロトコルです。このプロトコルは Cisco スイッチでも使用されています。 VTP は VLAN 同期プロトコルであることはすでに述べました。つまり、すべてのネットワークスイッチ間で VLAN データベースを同期するように設計されています。

さまざまな VTP モード (サーバー、クライアント、トランスペアレント) について説明しました。デバイスがサーバーモードを使用している場合、VLAN の変更、追加または削除が可能になります。クライアントモードではスイッチ設定を変更できません。VLAN データベースは VTP サーバ経由でのみ設定でき、すべての VTP クライアントに複製されます。トランスペアレントモードのスイッチは、自身の VLAN データベースに変更を加えず、単にそれ自体を通過し、変更をクライアントモードの次のデバイスに転送します。このモードは、特定のデバイスで VTP を無効にし、VLAN 変更情報のトランスポータに変えるのと似ています。

前のレッスンで説明したパケットトレーサプログラムとネットワークトポロジに戻りましょう。 10台のスイッチを組み合わせて、営業部門用にVLAN20ネットワーク、マーケティング部門用にVLANXNUMXネットワークを構成しました。

スイッチ SW0 と SW1 の間の通信は VLAN20 ネットワーク経由で実行され、SW0 と SW2 の間の通信は VLAN10 ネットワーク経由で行われます。これは、スイッチ SW10 の VLAN データベースに VLAN1 を追加したためです。
VTP プロトコルの動作を検討するために、スイッチの 0 つ (SW2 とする) を VTP サーバとして使用してみましょう。覚えていると思いますが、デフォルトでは、すべてのスイッチが VTP サーバモードで動作します。スイッチのコマンドラインターミナルに移動し、show vtp status コマンドを入力してみましょう。現在の VTP プロトコルのバージョンは 4 で、設定のリビジョン番号は XNUMX であることがわかります。覚えていると思いますが、VTP データベースに変更が加えられるたびに、リビジョン番号は XNUMX ずつ増えます。

サポートされる VLAN の最大数は 255 です。スイッチが異なればサポートできるローカル仮想ネットワークの数も異なるため、この数は特定の Cisco スイッチのブランドによって異なります。既存の VLAN の数は 7 です。これらのネットワークが何であるかをすぐに見ていきます。 VTP 制御モードはサーバー、ドメイン名は設定されておらず、VTP プルーニングモードは無効になっています。これについては後で説明します。 VTP V2 および VTP トラップ生成モードも無効になります。 200-125 CCNA 試験に合格するために最後の XNUMX つのモードについて知る必要はないので、心配する必要はありません。

show vlan コマンドを使用して VLAN データベースを見てみましょう。前のビデオですでに見たように、サポートされていないネットワークが 4、1002、1003、1004 の 1005 つあります。

また、作成した 2 つのネットワーク VLAN10 と 20、およびデフォルトのネットワーク VLAN1 もリストされています。次に、別のスイッチに移動し、同じコマンドを入力して VTP ステータスを表示しましょう。このスイッチのリビジョン番号は 3 で、VTP サーバモードであり、その他の情報はすべて最初のスイッチと同様であることがわかります。 show VLAN コマンドを入力すると、設定に 2 つの変更が加えられたことがわかります。スイッチ SW0 より 1 つ少ないため、SW3 のリビジョン番号は 3 です。最初のデフォルト設定に 4 つの変更を加えました。スイッチに対応したため、リビジョン番号は XNUMX に増加しました。

次にSW2のステータスを見てみましょう。ここのリビジョン番号は 1 ですが、これは奇妙です。設定が 1 つ変更されたため、XNUMX 回目の改訂が必要です。 VLAN データベースを見てみましょう。

VLAN10 を作成するという 3 つの変更を加えましたが、なぜその情報が更新されなかったのかわかりません。おそらくこれは、実際のネットワークではなくソフトウェアネットワークシミュレータを使用しているために発生したものであり、エラーが発生する可能性があります。シスコでのインターン中に実際のデバイスを扱う機会がある場合は、パケットトレーサシミュレータよりも役に立ちます。実際のデバイスがない場合に役立つもう XNUMX つの便利な機能は、GNCXNUMX (グラフィカル Cisco ネットワークシミュレータ) です。これは、ルーターなどのデバイスの実際のオペレーティングシステムを使用するエミュレーターです。シミュレータとエミュレータには違いがあります。前者は実際のルータのように見えるプログラムですが、実際のルータではありません。エミュレータソフトウェアはデバイス自体を作成するだけですが、それを動作させるには実際のソフトウェアが使用されます。ただし、実際の Cisco IOS ソフトウェアを実行する能力がない場合は、Packet Tracer が最良の選択肢です。

そのため、SW0 を VTP サーバとして設定する必要があります。このために、グローバル設定コンフィギュレーションモードに入り、コマンド vtp version 2 を入力します。前述したように、必要なプロトコルバージョン - 1 または 2 をこのファイルにインストールできます。場合によっては XNUMX 番目のバージョンが必要になります。次に、vtp mode コマンドを使用して、スイッチの VTP モード (サーバー、クライアント、またはトランスペアレント) を設定します。この場合、サーバーモードが必要であり、vtp mode server コマンドを入力すると、デバイスがすでにサーバーモードであることを示すメッセージがシステムに表示されます。次に、VTP ドメインを設定する必要があります。これには、vtp domain nwking.org コマンドを使用します。なぜこれが必要なのでしょうか? ネットワーク上に、より高いリビジョン番号を持つ別のデバイスが存在する場合、より低いリビジョン番号を持つ他のすべてのデバイスは、そのデバイスから VLAN データベースの複製を開始します。ただし、これはデバイスのドメイン名が同じ場合にのみ発生します。たとえば、nwking.org に勤務している場合はこのドメインを指定し、Cisco に勤務している場合はドメイン cisco.com などを指定します。会社のデバイスのドメイン名を使用すると、他社のデバイスやネットワーク上の他の外部デバイスと区別できます。会社のドメイン名をデバイスに割り当てると、そのデバイスはその会社のネットワークの一部になります。

次に行うことは、VTP パスワードを設定することです。これは、高いリビジョン番号のデバイスを使用しているハッカーが自分の VTP 設定をスイッチにコピーできないようにするために必要です。 vtp password cisco コマンドを使用して cisco パスワードを入力します。これ以降、スイッチ間での VTP データの複製は、パスワードが一致する場合にのみ可能になります。間違ったパスワードを使用すると、VLAN データベースは更新されません。

さらにいくつかの VLAN を作成してみましょう。これを行うには、config t コマンドを使用し、vlan 200 コマンドを使用してネットワーク番号 200 を作成し、それに TEST という名前を付けて、exit コマンドで変更を保存します。次に、別の VLAN 500 を作成し、TEST1 という名前を付けます。ここで show vlan コマンドを入力すると、スイッチの仮想ネットワークのテーブルに、ポートが XNUMX つも割り当てられていないこれら XNUMX つの新しいネットワークが表示されます。

SW1 に移動して、その VTP ステータスを確認してみましょう。ここでは、ドメイン名以外は何も変更されておらず、VLAN の数は 7 のままであることがわかります。VTP パスワードが一致しないため、作成したネットワークが表示されません。コマンド conf t、vtp pass、および vtp passwd Cisco を順番に入力して、このスイッチに VTP パスワードを設定しましょう。システムは、デバイスの VLAN データベースが Cisco パスワードを使用していると報告しました。 VTP ステータスをもう一度見て、情報が複製されているかどうかを確認してみましょう。ご覧のとおり、既存の VLAN の数は自動的に 9 に増加しています。

このスイッチの VLAN データベースを見ると、作成した VLAN200 および VLAN500 ネットワークが自動的にそこに表示されていることがわかります。

最後のスイッチ SW2 についても同じことを行う必要があります。 show vlan コマンドを入力してみましょう。コマンドに変更が加えられていないことがわかります。同様に、VTP ステータスにも変化はありません。このスイッチで情報を更新するには、パスワードを設定する必要があります。つまり、SW1 と同じコマンドを入力します。この後、SW2 ステータスの VLAN の数は 9 に増加します。

それが VTP の目的です。これは、サーバーデバイスに変更が加えられた後、すべてのクライアントネットワークデバイスの情報を自動的に更新する優れた機能です。すべてのスイッチの VLAN データベースを手動で変更する必要はありません。レプリケーションは自動的に行われます。 200 台のネットワークデバイスがある場合、加えた変更は 2 台すべてのデバイスに同時に保存されます。念のため、SWXNUMX も VTP クライアントであることを確認する必要があるため、config t コマンドで設定に入り、vtp mode client コマンドを入力します。

したがって、このネットワークでは最初のスイッチのみが VTP サーバモードであり、他の 2 つは VTP クライアントモードで動作します。ここで SW1000 設定に移動して vlan XNUMX コマンドを入力すると、「デバイスがクライアントモードの場合、VTP VLAN の設定は許可されません。」というメッセージが表示されます。したがって、スイッチが VTP クライアントモードの場合、VLAN データベースに変更を加えることができません。変更を加えたい場合は、スイッチサーバーにアクセスする必要があります。

SW0 端末設定に移動し、コマンド vlan 999 を入力し、IMRAN という名前を付けて終了します。この新しいネットワークは、このスイッチの VLAN データベースに表示されています。ここでクライアントスイッチ SW2 のデータベースに移動すると、同じ情報がここに表示されていることがわかります。つまり、レプリケーションが発生していることがわかります。

先ほども述べたように、VTP は優れたソフトウェアですが、使い方を誤るとネットワーク全体に混乱をもたらす可能性があります。したがって、ドメイン名と VTP パスワードが設定されていない場合、社内ネットワークを扱うときは細心の注意が必要です。この場合、ハッカーが行う必要があるのは、スイッチのケーブルを壁のネットワークソケットに差し込み、DTP プロトコルを使用してオフィスのスイッチに接続し、作成されたトランクを使用して VTP プロトコルを使用してすべての情報を更新することだけです。。このようにして、ハッカーは、自分のデバイスのリビジョン番号が他のスイッチのリビジョン番号よりも大きいという事実を利用して、重要な VLAN をすべて削除できます。この場合、会社のスイッチはすべての VLAN データベース情報を悪意のあるスイッチから複製された情報に自動的に置き換え、ネットワーク全体が崩壊します。

これは、コンピュータがネットワークケーブルを使用して、VLAN 10 または VLAN20 が割り当てられている特定のスイッチポートに接続されているためです。これらのネットワークがスイッチの LAN データベースから削除されると、存在しないネットワークに属するポートは自動的に無効になります。通常、次の更新時に削除された VLAN に関連付けられたポートをスイッチが単に無効にするだけであるため、企業のネットワークが崩壊する可能性があります。

このような問題の発生を防ぐには、VTP ドメイン名とパスワードを設定するか、スイッチポートの MAC アドレスを管理し、その使用にさまざまな制限を導入できる Cisco Port Security 機能を使用する必要があります。たとえば、他の人が MAC アドレスを変更しようとすると、ポートはすぐにダウンします。 Cisco スイッチのこの機能については、すぐに詳しく説明する予定ですが、現時点で知っておく必要があるのは、ポートセキュリティによって VTP が攻撃者から確実に保護されるということだけです。

VTP 設定とは何なのかをまとめてみましょう。これは、プロトコルバージョン - 1 または 2、VTP モードの割り当て - サーバー、クライアント、またはトランスペアレントの選択です。すでに述べたように、後者のモードはデバイス自体の VLAN データベースを更新せず、すべての変更を隣接するデバイスに送信するだけです。ドメイン名とパスワードを割り当てるコマンドは次のとおりです: vtp ドメイン <ドメイン名> と vtp パスワード <パスワード>。

次に、VTP プルーニング設定について説明します。ネットワークトポロジを見ると、10 つのスイッチすべてに同じ VLAN データベースがあることがわかります。これは、VLAN20 と VLAN3 が 2 つのスイッチすべての一部であることを意味します。スイッチ SW20 にはこのネットワークに属するポートがないため、技術的には VLAN0 は必要ありません。ただし、これに関係なく、Laptop20 コンピュータから VLAN1 ネットワーク経由で送信されたすべてのトラフィックは SW2 スイッチに到達し、そこからトランクを経由して SWXNUMX ポートに送信されます。ネットワークスペシャリストとしての主なタスクは、ネットワーク上で送信される不要なデータをできる限り少なくすることです。必要なデータが確実に送信されるようにする必要がありますが、デバイスが必要としない情報の送信を制限するにはどうすればよいでしょうか?

VLAN20 上のデバイス宛てのトラフィックが、不必要なときにトランクを介して SW2 ポートに流れないようにする必要があります。つまり、Laptop0 トラフィックは SW1 に到達し、その後 VLAN20 上のコンピュータに到達する必要がありますが、SW1 の右トランクポートを超えてはなりません。これは、VTP プルーニングを使用して実現できます。

これを行うには、VTP サーバ SW0 の設定に移動する必要があります。すでに述べたように、VTP 設定はサーバ経由でのみ行うことができるため、グローバルコンフィギュレーション設定に移動して、vtp pruning コマンドを入力します。 Packet Tracer は単なるシミュレーションプログラムであるため、コマンドラインプロンプトにはそのようなコマンドはありません。ただし、「vtp pruning」と入力して Enter キーを押すと、システムは vtp pruning モードが使用できないことを通知します。

show vtp status コマンドを使用すると、VTP プルーニングモードがディセーブル状態であることがわかります。そのため、これをイネーブルの位置に移動して使用可能にする必要があります。これを完了すると、ネットワークドメイン内のネットワークの XNUMX つのスイッチすべてで VTP プルーニングモードがアクティブになります。
VTP プルーニングとは何かを思い出させてください。このモードを有効にすると、スイッチサーバー SW0 は、そのポートに VLAN2 のみが設定されていることをスイッチ SW10 に通知します。この後、スイッチ SW2 はスイッチ SW1 に、VLAN10 宛てのトラフィック以外のトラフィックは必要ないことを伝えます。現在、VTP プルーニングのおかげで、スイッチ SW1 は、SW20-SW1 トランクに沿って VLAN2 トラフィックを送信する必要がないという情報を取得します。

これはネットワーク管理者にとって非常に便利です。スイッチは特定のネットワークデバイスが必要とするものを正確に送信できるほど賢いため、手動でコマンドを入力する必要はありません。明日、別のマーケティング部門を隣の建物に配置し、その VLAN20 ネットワークをスイッチ SW2 に接続すると、そのスイッチはすぐにスイッチ SW1 に、現在 VLAN10 と VLAN20 があることを伝え、両方のネットワークにトラフィックを転送するように依頼します。この情報はすべてのデバイスにわたって常に更新されるため、コミュニケーションがより効率的になります。

トラフィックの送信を指定する別の方法があります。これは、指定した VLAN に対してのみデータ送信を許可するコマンドを使用することです。ポート Fa1/0 に興味があるスイッチ SW4 の設定に移動し、コマンド int fa0/4 と switchport train allowed vlan を入力します。 SW2 には VLAN10 しかないことがすでにわかっているので、allowed vlan コマンドを使用して、SW1 のトランクポートでそのネットワークのトラフィックのみを許可するように指示できます。そこで、VLAN0 のトラフィックのみを伝送するようにトランクポート Fa4/10 をプログラムしました。これは、このポートが VLAN1、VLAN20、または指定されたネットワーク以外のネットワークからのトラフィックを許可しないことを意味します。

VTP プルーニングと allowed vlan コマンドのどちらを使用するのが良いか疑問に思われるかもしれません。最初の方法を使用することが合理的な場合もあれば、2 番目の方法を使用することが合理的な場合もあるため、答えは主観的です。ネットワーク管理者は、最適なソリューションを選択する必要があります。特定の VLAN からのトラフィックを許可するようにポートをプログラムするという決定は、場合によっては良い場合もありますが、悪い場合もあります。私たちのネットワークの場合、ネットワークトポロジを変更する予定がない場合は、allowed vlan コマンドを使用することが正当化される可能性があります。ただし、後で VLAN20 を使用するデバイスのグループを SW XNUMX に追加する場合は、VTP プルーニングモードを使用することをお勧めします。

したがって、VTP プルーニングを設定するには、次のコマンドを使用する必要があります。 vtp pruning コマンドにより、このモードが自動的に使用されます。特定の VLAN のトラフィックを手動で通過できるようにトランクポートの VTP プルーニングを設定する場合は、コマンドを使用してトランクポート番号インターフェイス <#> を選択し、トランクモードスイッチポートモードトランクを有効にして、トラフィックの送信を許可します。 switchport train allowed vlan コマンドを使用して特定のネットワークに接続する。

最後のコマンドでは、5 つのパラメーターを使用できます。「すべて」はすべての VLAN へのトラフィック送信が許可されることを意味し、「なし」はすべての VLAN へのトラフィック送信が禁止されることを意味します。 add パラメータを使用すると、別のネットワークのトラフィックスループットを追加できます。たとえば、VLAN10 トラフィックを許可しますが、add コマンドを使用して VLAN20 トラフィックの通過も許可できます。 delete コマンドを使用すると、ネットワークの 20 つを削除できます。たとえば、remove 10 パラメータを使用すると、VLANXNUMX トラフィックのみが残ります。

次に、ネイティブ VLAN を見てみましょう。ネイティブ VLAN は、特定のトランクポートを介してタグなしトラフィックを渡すための仮想ネットワークであるとすでに述べました。

SW(config-if)# コマンドラインヘッダーで示されている特定のポート設定に移動し、コマンド switchport トランクネイティブ vlan <ネットワーク番号> (たとえば、VLAN10) を使用します。これで、VLAN10 上のすべてのトラフィックがタグなしのトランクを通過するようになります。

[パケットトレーサ] ウィンドウの論理ネットワークトポロジに戻りましょう。スイッチポート Fa20/0 で switchporttrunknativevlan4 コマンドを使用すると、VLAN20 上のすべてのトラフィックはタグなしの Fa0/4 – SW2 トランクを通過します。スイッチ SW2 は、このトラフィックを受信すると、「これはタグなしのトラフィックであるため、ネイティブ VLAN にルーティングする必要がある」と判断します。このスイッチの場合、ネイティブ VLAN は VLAN1 ネットワークです。ネットワーク 1 と 20 はいかなる方法でも接続されていませんが、ネイティブ VLAN モードが使用されているため、VLAN20 トラフィックをまったく異なるネットワークにルーティングする機会があります。ただし、このトラフィックはカプセル化されていないため、ネットワーク自体は依然として一致している必要があります。

例を挙げて見てみましょう。 SW1 の設定に移動し、switchport trainnative vlan 10 コマンドを使用すると、VLAN10 トラフィックはタグなしでトランクポートから送信されるようになります。トランクポート SW2 に到達すると、スイッチはそれを VLAN1 に転送する必要があることを認識します。この決定の結果、コンピュータ PC2、3、4 は VLAN10 向けのスイッチアクセスポートに接続されているため、トラフィックはこれらのコンピュータに到達できなくなります。

技術的には、これにより、システムは、VLAN0 の一部であるポート Fa4/10 のネイティブ VLAN が、VLAN0 の一部であるポート Fa1/1 と一致しないことを報告します。これは、ネイティブ VLAN の不一致により、指定されたポートがトランクモードで動作できないことを意味します。

いつもご宿泊いただきありがとうございます。私たちの記事が気に入っていますか? もっと興味深いコンテンツを見たいですか? 注文したり、友人に勧めたりして私たちをサポートしてください。 Habr ユーザーは、当社があなたのために発明した、エントリーレベルのサーバーに似たユニークな製品を 30% 割引でご利用いただけます。 VPS (KVM) E5-2650 v4 (6 コア) 10GB DDR4 240GB SSD 1Gbps 20 ドルからの真実、またはサーバーを共有する方法? (RAID1 および RAID10、最大 24 コア、最大 40GB DDR4 で利用可能)。

Dell R730xdは2倍安い？ ここだけ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV 199 ドルからオランダで！ Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 ドルから! について読むインフラストラクチャー企業を構築する方法730 ペニーで 5 ユーロの価値がある Dell R2650xd E4-9000 vXNUMX サーバーを使用したクラスですか?

出所： habr.com

シスコトレーニング 200-125 CCNA v3.0。 14 日目。VTP、プルーニング、ネイティブ VLAN

コメントを追加します返信をキャンセル

シスコ トレーニング 200-125 CCNA v3.0。 14 日目。VTP、プルーニング、ネイティブ VLAN

コメントを追加します 返信をキャンセル

シスコトレーニング 200-125 CCNA v3.0。 14 日目。VTP、プルーニング、ネイティブ VLAN

コメントを追加します返信をキャンセル