Cisco apmācība 200-125 CCNA v3.0. 14. diena VTP, atzarošana un vietējais VLAN

Šodien mēs turpināsim diskusiju par VLAN un apspriedīsim VTP protokolu, kā arī VTP atzarošanas un vietējā VLAN jēdzienus. Mēs jau runājām par VTP vienā no iepriekšējiem videoklipiem, un pirmais, kam jums vajadzētu ienākt prātā, dzirdot par VTP, ir tas, ka tas nav maģistrāles protokols, lai gan to sauc par “VLAN kanālu protokolu”.

Kā zināms, ir divi populāri maģistrāles protokoli – patentētais Cisco ISL protokols, kas mūsdienās netiek izmantots, un 802.q protokols, ko izmanto dažādu ražotāju tīkla ierīcēs, lai iekapsulētu maģistrālo trafiku. Šis protokols tiek izmantots arī Cisco slēdžos. Mēs jau teicām, ka VTP ir VLAN sinhronizācijas protokols, tas ir, tas ir paredzēts VLAN datu bāzes sinhronizēšanai visos tīkla slēdžos.

Mēs minējām dažādus VTP režīmus - serveris, klients, caurspīdīgs. Ja ierīce izmanto servera režīmu, tas ļauj veikt izmaiņas, pievienot vai noņemt VLAN. Klienta režīms neļauj veikt izmaiņas slēdža iestatījumos, VLAN datu bāzi var konfigurēt tikai caur VTP serveri, un tā tiks replicēta visos VTP klientos. Slēdzis caurspīdīgā režīmā neveic izmaiņas savā VLAN datu bāzē, bet vienkārši iziet cauri sev un pārsūta izmaiņas uz nākamo ierīci klienta režīmā. Šis režīms ir līdzīgs VTP atspējošanai noteiktā ierīcē, pārvēršot to par VLAN izmaiņu informācijas transportētāju.

Atgriezīsimies pie Packet Tracer programmas un iepriekšējā nodarbībā apspriestās tīkla topoloģijas. Mēs konfigurējām VLAN10 tīklu tirdzniecības nodaļai un VLAN20 tīklu mārketinga nodaļai, apvienojot tos ar trim slēdžiem.

Starp slēdžiem SW0 un SW1 komunikācija tiek veikta pa VLAN20 tīklu, un starp SW0 un SW2 notiek saziņa pa VLAN10 tīklu, jo mēs pievienojām VLAN10 slēdža SW1 VLAN datubāzei.
Lai apsvērtu VTP protokola darbību, izmantosim vienu no slēdžiem kā VTP serveri, lai tas būtu SW0. Ja atceraties, pēc noklusējuma visi slēdži darbojas VTP servera režīmā. Dosimies uz slēdža komandrindas termināli un ievadīsim komandu show vtp status. Jūs redzat, ka pašreizējā VTP protokola versija ir 2 un konfigurācijas pārskatīšanas numurs ir 4. Ja atceraties, katru reizi, kad tiek veiktas izmaiņas VTP datu bāzē, versijas numurs palielinās par vienu.

Maksimālais atbalstīto VLAN skaits ir 255. Šis skaits ir atkarīgs no konkrētā Cisco slēdža zīmola, jo dažādi slēdži var atbalstīt dažādu skaitu vietējo virtuālo tīklu. Esošo VLAN skaits ir 7, pēc minūtes mēs apskatīsim, kas ir šie tīkli. VTP vadības režīms ir serveris, domēna nosaukums nav iestatīts, VTP atzarošanas režīms ir atspējots, mēs pie tā atgriezīsimies vēlāk. VTP V2 un VTP Traps ģenerēšanas režīmi arī ir atspējoti. Lai nokārtotu 200–125 CCNA eksāmenu, jums nav jāzina par pēdējiem diviem režīmiem, tāpēc neuztraucieties par tiem.

Apskatīsim VLAN datu bāzi, izmantojot komandu show vlan. Kā jau redzējām iepriekšējā videoklipā, mums ir 4 neatbalstīti tīkli: 1002, 1003, 1004 un 1005.

Tajā ir arī uzskaitīti divi mūsu izveidotie tīkli, VLAN2 un 10, un noklusējuma tīkls VLAN20. Tagad pāriesim uz citu slēdzi un ievadiet to pašu komandu, lai skatītu VTP statusu. Jūs redzat, ka šī slēdža versijas numurs ir 1, tas ir VTP servera režīmā un visa pārējā informācija ir līdzīga pirmajam slēdzim. Ievadot komandu show VLAN, es redzu, ka esam veikuši 3 izmaiņas iestatījumos, par vienu mazāk nekā slēdzis SW2, tāpēc SW0 pārskatīšanas numurs ir 1. Esam veikuši 3 izmaiņas pirmajam noklusējuma iestatījumos. slēdzi, tāpēc tā pārskatīšanas numurs palielinājās līdz 3.

Tagad apskatīsim SW2 statusu. Pārskatīšanas numurs šeit ir 1, kas ir dīvaini. Mums ir jāveic otrā pārskatīšana, jo tika veikta 1 iestatījumu maiņa. Apskatīsim VLAN datu bāzi.

Mēs veicām vienu izmaiņu, izveidojot VLAN10, un es nezinu, kāpēc šī informācija netika atjaunināta. Varbūt tas notika tāpēc, ka mums nav reāla tīkla, bet gan programmatūras tīkla simulators, kurā var būt kļūdas. Ja jums ir iespēja strādāt ar reālām ierīcēm, stažējoties Cisco, tas jums palīdzēs vairāk nekā Packet Tracer simulators. Vēl viena noderīga lieta, ja nav reālu ierīču, būtu GNC3 vai grafiskais Cisco tīkla simulators. Šis ir emulators, kas izmanto reālo ierīces, piemēram, maršrutētāja, operētājsistēmu. Ir atšķirība starp simulatoru un emulatoru - pirmā ir programma, kas izskatās kā īsts maršrutētājs, bet tā nav. Emulatora programmatūra izveido tikai pašu ierīci, bet izmanto reālu programmatūru, lai to darbinātu. Bet, ja jums nav iespējas palaist faktisko Cisco IOS programmatūru, Packet Tracer ir labākā izvēle.

Tātad, mums ir jākonfigurē SW0 kā VTP serveris, šim nolūkam es ieeju globālo iestatījumu konfigurācijas režīmā un ievadu komandu vtp version 2. Kā jau teicu, mēs varam instalēt mums nepieciešamo protokola versiju - 1 vai 2, šajā gadījumā mums ir nepieciešama otrā versija. Tālāk, izmantojot komandu vtp mode, mēs iestatām slēdža VTP režīmu - serveris, klients vai caurspīdīgs. Šajā gadījumā mums ir nepieciešams servera režīms, un pēc vtp mode servera komandas ievadīšanas sistēma parāda ziņojumu, ka ierīce jau ir servera režīmā. Tālāk mums ir jākonfigurē VTP domēns, kuram mēs izmantojam vtp domēna komandu nwking.org. Kāpēc tas ir vajadzīgs? Ja tīklā ir cita ierīce ar lielāku versijas numuru, visas pārējās ierīces ar zemāku versijas numuru sāk replicēt VLAN datubāzi no šīs ierīces. Tomēr tas notiek tikai tad, ja ierīcēm ir vienāds domēna nosaukums. Piemēram, ja strādājat vietnē nwking.org, norādiet šo domēnu, ja Cisco, tad domēnu cisco.com un tā tālāk. Jūsu uzņēmuma ierīču domēna nosaukums ļauj tās atšķirt no cita uzņēmuma ierīcēm vai no citām tīkla ārējām ierīcēm. Piešķirot ierīcei uzņēmuma domēna nosaukumu, jūs padarāt to par daļu no šī uzņēmuma tīkla.

Nākamā lieta, kas jādara, ir iestatīt VTP paroli. Tas ir nepieciešams, lai hakeris, kuram ir ierīce ar augstu pārskatīšanas numuru, nevarētu kopēt savus VTP iestatījumus uz jūsu slēdzi. Es ievadu cisco paroli, izmantojot vtp paroles cisco komandu. Pēc tam VTP datu replikācija starp slēdžiem būs iespējama tikai tad, ja paroles sakrīt. Ja tiek izmantota nepareiza parole, VLAN datu bāze netiks atjaunināta.

Mēģināsim izveidot vēl dažus VLAN. Lai to izdarītu, es izmantoju komandu config t, izmantoju komandu vlan 200, lai izveidotu tīkla numuru 200, piešķiru tam nosaukumu TEST un saglabāju izmaiņas ar komandu exit. Tad es izveidoju vēl vienu vlan 500 un saucu to par TEST1. Ja tagad ievadāt komandu show vlan, tad slēdža virtuālo tīklu tabulā var redzēt šos divus jaunos tīklus, kuriem nav piešķirts neviens ports.

Pāriesim pie SW1 un redzēsim tā VTP statusu. Mēs redzam, ka šeit nekas nav mainījies, izņemot domēna nosaukumu, VLAN skaits paliek vienāds ar 7. Mēs neredzam mūsu izveidotos tīklus, jo VTP parole nesakrīt. Iestatīsim VTP paroli šim slēdzim, secīgi ievadot komandas conf t, vtp pass un vtp paroli Cisco. Sistēma ziņoja, ka ierīces VLAN datu bāze tagad izmanto Cisco paroli. Vēlreiz apskatīsim VTP statusu, lai pārbaudītu, vai informācija ir pavairota. Kā redzat, esošo VLAN skaits automātiski ir palielinājies līdz 9.

Apskatot šī slēdža VLAN datu bāzi, var redzēt, ka tajā automātiski parādījās mūsu izveidotie tīkli VLAN200 un VLAN500.

Tas pats jādara ar pēdējo slēdzi SW2. Ievadam komandu show vlan - var redzēt, ka nekādas izmaiņas tajā nav notikušas. Tāpat arī VTP statuss nemainās. Lai šis slēdzis atjauninātu informāciju, ir jāiestata arī parole, tas ir, jāievada tās pašas komandas kā SW1. Pēc tam VLAN skaits SW2 statusā palielināsies līdz 9.

Tam ir VTP. Šī ir lieliska lieta, kas automātiski atjaunina informāciju visās klientu tīkla ierīcēs pēc servera ierīcē veiktajām izmaiņām. Nav nepieciešams manuāli veikt izmaiņas visu slēdžu VLAN datu bāzē - replikācija notiek automātiski. Ja jums ir 200 tīkla ierīces, veiktās izmaiņas tiks saglabātas visās divsimt ierīcēs vienlaikus. Katram gadījumam mums ir jāpārliecinās, ka SW2 ir arī VTP klients, tāpēc iedziļināsimies iestatījumos ar komandu config t un ievadīsim vtp mode klienta komandu.

Tādējādi mūsu tīklā tikai pirmais slēdzis ir VTP servera režīmā, pārējie divi darbojas VTP klienta režīmā. Ja es tagad iedziļināšos SW2 iestatījumos un ievadīšu komandu vlan 1000, es saņemšu ziņojumu: "VTP VLAN konfigurēšana nav atļauta, kad ierīce ir klienta režīmā." Tādējādi es nevaru veikt nekādas izmaiņas VLAN datu bāzē, ja slēdzis ir VTP klienta režīmā. Ja vēlos veikt kādas izmaiņas, man jādodas uz slēdža serveri.

Es dodos uz SW0 termināļa iestatījumiem un ievadu komandas vlan 999, nosaucu IMRAN un izeju. Šis jaunais tīkls ir parādījies šī slēdža VLAN datu bāzē, un, ja es tagad eju uz klienta slēdža SW2 datu bāzi, es redzēšu, ka šeit ir parādījusies tā pati informācija, tas ir, ir notikusi replikācija.

Kā jau teicu, VTP ir lieliska programmatūra, taču, ja to lieto nepareizi, tā var izjaukt visu tīklu. Tāpēc, strādājot ar uzņēmuma tīklu, jums jābūt ļoti uzmanīgiem, ja nav iestatīts domēna nosaukums un VTP parole. Šajā gadījumā hakeram atliek tikai iespraust sava slēdža kabeli tīkla ligzdā pie sienas, izveidot savienojumu ar jebkuru biroja slēdzi, izmantojot DTP protokolu, un pēc tam, izmantojot izveidoto maģistrāli, atjaunināt visu informāciju, izmantojot VTP protokolu. . Tādā veidā hakeris var izdzēst visus svarīgos VLAN, izmantojot to, ka viņa ierīces versijas numurs ir lielāks nekā citu slēdžu pārskatīšanas numurs. Šādā gadījumā uzņēmuma slēdži automātiski aizstās visu VLAN datu bāzes informāciju ar informāciju, kas replicēta no ļaunprātīgā slēdža, un viss jūsu tīkls sabruks.

Tas ir saistīts ar faktu, ka datori, izmantojot tīkla kabeli, ir savienoti ar noteiktu slēdža portu, kuram ir piešķirts VLAN 10 vai VLAN20. Ja šie tīkli tiek dzēsti no slēdža LAN datu bāzes, tas automātiski atspējos portu, kas pieder neesošajam tīklam. Parasti uzņēmuma tīkls var sabrukt tieši tāpēc, ka slēdži vienkārši atspējo portus, kas saistīti ar VLAN, kas tika noņemti nākamās atjaunināšanas laikā.

Lai šāda problēma nerastos, nepieciešams iestatīt VTP domēna vārdu un paroli vai izmantot Cisco Port Security līdzekli, kas ļauj pārvaldīt slēdžu portu MAC adreses, ieviešot dažādus ierobežojumus to lietošanai. Piemēram, ja kāds cits mēģina mainīt MAC adresi, ports nekavējoties pazudīs. Šo Cisco slēdžu funkciju mēs tuvākajā laikā apskatīsim, taču pagaidām viss, kas jums jāzina, ir tas, ka Port Security ļauj jums pārliecināties, vai VTP ir aizsargāts pret uzbrucēju.

Apkoposim, kas ir VTP iestatījums. Šī ir protokola versijas izvēle - 1 vai 2, VTP režīma piešķiršana - serveris, klients vai caurspīdīgs. Kā jau teicu, pēdējais režīms neatjaunina pašas ierīces VLAN datu bāzi, bet vienkārši pārsūta visas izmaiņas blakus esošajām ierīcēm. Tālāk ir norādītas komandas domēna vārda un paroles piešķiršanai: vtp domēns <domēna nosaukums> un vtp parole <parole>.

Tagad parunāsim par VTP atzarošanas iestatījumiem. Ja paskatās uz tīkla topoloģiju, var redzēt, ka visiem trim slēdžiem ir viena VLAN datu bāze, kas nozīmē, ka VLAN10 un VLAN20 ir daļa no visiem 3 slēdžiem. Tehniski slēdzim SW2 nav nepieciešams VLAN20, jo tam nav šim tīklam piederošu portu. Tomēr neatkarīgi no tā visa trafika, kas tiek nosūtīta no Laptop0 datora caur VLAN20 tīklu, sasniedz SW1 slēdzi un no tā caur maģistrāli nonāk SW2 portos. Jūsu kā tīkla speciālista galvenais uzdevums ir nodrošināt, lai tīklā tiktu pārsūtīts pēc iespējas mazāk nevajadzīgu datu. Jānodrošina nepieciešamo datu pārsūtīšana, bet kā ierobežot ierīcei nevajadzīgas informācijas pārraidi?

Jums ir jānodrošina, lai VLAN20 ierīcēm paredzētā trafika neplūst uz SW2 portiem caur maģistrāli, kad tas nav nepieciešams. Tas nozīmē, ka klēpjdatora 0 trafikam ir jāsasniedz SW1 un pēc tam datoros VLAN20, taču tai nevajadzētu pārsniegt SW1 labo maģistrāles portu. To var panākt, izmantojot VTP atzarošanu.

Lai to izdarītu, mums jāiet uz VTP servera SW0 iestatījumiem, jo, kā jau teicu, VTP iestatījumus var veikt tikai caur serveri, dodieties uz globālajiem konfigurācijas iestatījumiem un ierakstiet komandu vtp apgriešana. Tā kā Packet Tracer ir tikai simulācijas programma, tās komandrindas uzvednēs šādas komandas nav. Tomēr, kad es ierakstu vtp apgriešana un nospiežu Enter, sistēma man paziņo, ka vtp apgriešanas režīms nav pieejams.

Izmantojot komandu show vtp status, mēs redzēsim, ka VTP apgriešanas režīms ir atspējotā stāvoklī, tāpēc mums tas ir jādara pieejams, pārvietojot to iespējotā pozīcijā. Pēc tam mēs aktivizējam VTP atzarošanas režīmu visos trīs mūsu tīkla slēdžos tīkla domēnā.
Atgādināšu, kas ir VTP atzarošana. Kad mēs iespējojam šo režīmu, slēdža serveris SW0 informē slēdzi SW2, ka tā portos ir konfigurēts tikai VLAN10. Pēc tam slēdzis SW2 paziņo slēdzim SW1, ka tam nav nepieciešama cita trafika, izņemot trafiku, kas paredzēts VLAN10. Tagad, pateicoties VTP atzarošanai, slēdzim SW1 ir informācija, ka tam nav jānosūta VLAN20 trafika pa SW1-SW2 maģistrāli.

Tas ir ļoti ērti jums kā tīkla administratoram. Jums nav manuāli jāievada komandas, jo slēdzis ir pietiekami gudrs, lai nosūtītu tieši to, kas nepieciešams konkrētajai tīkla ierīcei. Ja rīt nākamajā ēkā ievietosit citu mārketinga nodaļu un pievienosit tā VLAN20 tīklu slēdzim SW2, šis slēdzis nekavējoties paziņos slēdzim SW1, ka tam tagad ir VLAN10 un VLAN20, un lūgs tam pārsūtīt trafiku abiem tīkliem. Šī informācija tiek pastāvīgi atjaunināta visās ierīcēs, padarot saziņu efektīvāku.

Ir vēl viens veids, kā norādīt trafika pārraidi - tas ir izmantot komandu, kas ļauj pārraidīt datus tikai norādītajam VLAN. Eju uz slēdža SW1 iestatījumiem, kur interesē ports Fa0/4 un ievadu komandas int fa0/4 un switchport trunk atļauts vlan. Tā kā es jau zinu, ka SW2 ir tikai VLAN10, es varu pateikt SW1 atļaut tikai šī tīkla trafiku savā maģistrāles portā, izmantojot atļauto vlan komandu. Tāpēc es ieprogrammēju maģistrālo portu Fa0/4, lai nodrošinātu trafiku tikai VLAN10. Tas nozīmē, ka šis ports neļaus trafiku no VLAN1, VLAN20 vai jebkura cita tīkla, izņemot norādīto.

Jums var rasties jautājums, ko labāk izmantot: VTP atzarošanu vai atļauto vlan komandu. Atbilde ir subjektīva, jo dažos gadījumos ir lietderīgi izmantot pirmo metodi, bet citos ir lietderīgi izmantot otro. Jums kā tīkla administratoram ir jāizvēlas labākais risinājums. Dažos gadījumos lēmums ieprogrammēt portu, lai atļautu trafiku no konkrēta VLAN, var būt labs, bet citos tas var būt slikts. Mūsu tīkla gadījumā atļautās vlan komandas izmantošana var būt attaisnojama, ja mēs negrasāmies mainīt tīkla topoloģiju. Bet, ja kāds vēlāk vēlas pievienot SW 2 ierīču grupu, kas izmanto VLAN20, būtu ieteicams izmantot VTP apgriešanas režīmu.

Tātad, iestatot VTP atzarošanu, ir jāizmanto šādas komandas. Vtp atzarošanas komanda nodrošina šī režīma automātisku izmantošanu. Ja vēlaties konfigurēt maģistrāles porta VTP atzarošanu, lai ļautu konkrēta VLAN trafika iziet manuāli, izmantojiet komandu, lai atlasītu maģistrāles porta numura interfeisu <#>, iespējotu maģistrāles režīma komutācijas porta režīma maģistrāli un atļautu trafika pārraidi. uz konkrētu tīklu, izmantojot Switchport trunk atļauto vlan komandu .

Pēdējā komandā varat izmantot 5 parametrus. Viss nozīmē, ka trafika pārraide visiem VLAN ir atļauta, neviena – trafika pārraide visiem VLAN ir aizliegta. Ja izmantojat pievienošanas parametru, varat pievienot trafika caurlaidspēju citam tīklam. Piemēram, mēs pieļaujam VLAN10 trafiku, un ar komandu add mēs varam arī atļaut VLAN20 trafiku iziet cauri. Noņemšanas komanda ļauj noņemt vienu no tīkliem, piemēram, ja izmantojat parametru remove 20, paliks tikai VLAN10 trafika.

Tagad apskatīsim vietējo VLAN. Mēs jau teicām, ka vietējais VLAN ir virtuāls tīkls nemarķētas trafika nodošanai caur noteiktu maģistrāles portu.

Es iedziļinājos konkrētajos porta iestatījumos, kā norādīts komandrindas SW(config-if)# galvenē, un izmantoju komandu switchport trunk native vlan <tīkla numurs>, piemēram, VLAN10. Tagad visa trafika VLAN10 iet caur nemarķēto maģistrāli.

Atgriezīsimies pie loģiskās tīkla topoloģijas logā Packet Tracer. Ja es izmantoju komutācijas porta maģistrāles native vlan 20 komandu slēdža portā Fa0/4, tad visa trafika VLAN20 plūst caur Fa0/4 — SW2 maģistrāli bez tagiem. Kad slēdzis SW2 saņem šo trafiku, tas domā: "šī ir nemarķēta trafika, kas nozīmē, ka man tā jānovirza uz vietējo VLAN." Šim slēdzim vietējais VLAN ir VLAN1 tīkls. Tīkli 1 un 20 nav savienoti nekādā veidā, bet, tā kā tiek izmantots vietējais VLAN režīms, mums ir iespēja novirzīt VLAN20 trafiku uz pilnīgi citu tīklu. Tomēr šī trafika nebūs iekapsulēta, un pašiem tīkliem joprojām ir jāsakrīt.

Apskatīsim to ar piemēru. Es iedziļināšos SW1 iestatījumos un izmantošu komutācijas porta stumbra native vlan 10 komandu. Tagad jebkura VLAN10 trafika iznāks no maģistrāles porta bez tagiem. Kad tas sasniedz maģistrālo portu SW2, slēdzis sapratīs, ka tas ir jāpārsūta uz VLAN1. Šī lēmuma rezultātā satiksme nevarēs sasniegt datorus PC2, 3 un 4, jo tie ir savienoti ar slēdžu piekļuves portiem, kas paredzēti VLAN10.

Tehniski tas liks sistēmai ziņot, ka porta Fa0/4 vietējais VLAN, kas ir daļa no VLAN10, neatbilst portam Fa0/1, kas ir daļa no VLAN1. Tas nozīmē, ka norādītie porti nevarēs darboties maģistrāles režīmā vietējā VLAN neatbilstības dēļ.

Paldies, ka palikāt kopā ar mums. Vai jums patīk mūsu raksti? Vai vēlaties redzēt interesantāku saturu? Atbalsti mūs, pasūtot vai iesakot draugiem, 30% atlaide Habr lietotājiem unikālam sākuma līmeņa serveru analogam, ko mēs jums izgudrojām: Visa patiesība par VPS (KVM) E5-2650 v4 (6 kodoli) 10GB DDR4 240GB SSD 1Gbps no 20$ vai kā koplietot serveri? (pieejams ar RAID1 un RAID10, līdz 24 kodoliem un līdz 40 GB DDR4).

Dell R730xd 2 reizes lētāk? Tikai šeit 2x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV no 199$ Nīderlandē! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB — no 99 USD! Lasīt par Kā izveidot infrastruktūras uzņēmumu klase ar Dell R730xd E5-2650 v4 serveru izmantošanu 9000 eiro par santīmu?

Avots: www.habr.com