Vandaag zullen we onze bespreking van VLAN's voortzetten en het VTP-protocol bespreken, evenals de concepten van VTP Pruning en Native VLAN. We hadden het al over VTP in een van de vorige video's, en het eerste dat in je opkomt als je over VTP hoort, is dat het geen trunking-protocol is, ondanks dat het een “VLAN-trunking-protocol” wordt genoemd.
Zoals u weet zijn er twee populaire trunkingprotocollen: het eigen Cisco ISL-protocol, dat tegenwoordig niet meer wordt gebruikt, en het 802.q-protocol, dat wordt gebruikt in netwerkapparaten van verschillende fabrikanten om trunking-verkeer in te kapselen. Dit protocol wordt ook gebruikt in Cisco-switches. We hebben al gezegd dat VTP een VLAN-synchronisatieprotocol is, dat wil zeggen dat het is ontworpen om de VLAN-database over alle netwerkswitches te synchroniseren.
We noemden verschillende VTP-modi: server, client, transparant. Als het apparaat de servermodus gebruikt, kunt u hiermee wijzigingen aanbrengen en VLAN's toevoegen of verwijderen. In de clientmodus kunt u geen wijzigingen aanbrengen in de switchinstellingen. U kunt de VLAN-database alleen via de VTP-server configureren en deze wordt op alle VTP-clients gerepliceerd. Een switch in transparante modus brengt geen wijzigingen aan in de eigen VLAN-database, maar passeert zichzelf eenvoudig en draagt de wijzigingen over aan het volgende apparaat in clientmodus. Deze modus is vergelijkbaar met het uitschakelen van VTP op een specifiek apparaat, waardoor het wordt omgezet in een transporter van VLAN-wijzigingsinformatie.
Laten we terugkeren naar het Packet Tracer-programma en de netwerktopologie die in de vorige les is besproken. We hebben een VLAN10-netwerk voor de verkoopafdeling en een VLAN20-netwerk voor de marketingafdeling geconfigureerd, gecombineerd met drie switches.
Tussen switches SW0 en SW1 wordt communicatie uitgevoerd via het VLAN20-netwerk, en tussen SW0 en SW2 is er communicatie via het VLAN10-netwerk vanwege het feit dat we VLAN10 hebben toegevoegd aan de VLAN-database van switch SW1.
Om de werking van het VTP-protocol te bekijken, gebruiken we een van de switches als VTP-server, laat dit SW0 zijn. Als u het zich herinnert, werken alle switches standaard in de VTP-servermodus. Laten we naar de opdrachtregelterminal van de switch gaan en de opdracht show vtp status invoeren. U ziet dat de huidige VTP-protocolversie 2 is en het configuratierevisienummer 4. U herinnert zich dat elke keer dat er wijzigingen worden aangebracht in de VTP-database, het revisienummer met één wordt verhoogd.
Het maximale aantal ondersteunde VLAN's is 255. Dit aantal is afhankelijk van het merk van de specifieke Cisco-switch, aangezien verschillende switches verschillende aantallen lokale virtuele netwerken kunnen ondersteunen. Het aantal bestaande VLAN's is 7, we zullen zo meteen kijken wat deze netwerken zijn. VTP-controlemodus is server, domeinnaam is niet ingesteld, VTP-snoeimodus is uitgeschakeld, we komen hier later op terug. De modi VTP V2 en VTP Traps Generatie zijn ook uitgeschakeld. U hoeft de laatste twee modi niet te kennen om te slagen voor het 200-125 CCNA-examen, dus u hoeft zich daar geen zorgen over te maken.
Laten we de VLAN-database eens bekijken met behulp van de opdracht show vlan. Zoals we al in de vorige video zagen, hebben we 4 niet-ondersteunde netwerken: 1002, 1003, 1004 en 1005.
Het vermeldt ook de twee netwerken die we hebben gemaakt, VLAN2 en 10, en het standaardnetwerk, VLAN20. Laten we nu naar een andere schakelaar gaan en dezelfde opdracht invoeren om de VTP-status te bekijken. Je ziet dat het revisienummer van deze switch 1 is, hij staat in de VTP-servermodus en alle andere informatie is vergelijkbaar met die van de eerste switch. Wanneer ik de opdracht show VLAN invoer, kan ik zien dat we twee wijzigingen in de instellingen hebben aangebracht, één minder dan schakelaar SW3. Daarom is het revisienummer van SW2 0. We hebben drie wijzigingen aangebracht in de standaardinstellingen van de eerste overschakelen, daarom is het revisienummer verhoogd naar 1.
Laten we nu eens kijken naar de status van SW2. Het revisienummer hier is 1, wat vreemd is. We moeten een tweede revisie ondergaan omdat er 1 wijziging in de instellingen is doorgevoerd. Laten we eens kijken naar de VLAN-database.
We hebben één wijziging aangebracht, namelijk VLAN10, en ik weet niet waarom die informatie niet is bijgewerkt. Misschien is dit gebeurd omdat we geen echt netwerk hebben, maar een softwarenetwerksimulator, die mogelijk fouten bevat. Als je de kans krijgt om met echte apparaten te werken tijdens je stage bij Cisco, zal dit je meer helpen dan de Packet Tracer-simulator. Een ander nuttig ding bij gebrek aan echte apparaten zou GNC3 zijn, of een grafische Cisco-netwerksimulator. Dit is een emulator die het echte besturingssysteem van een apparaat, zoals een router, gebruikt. Er is een verschil tussen een simulator en een emulator: de eerste is een programma dat eruitziet als een echte router, maar dat niet is. De emulatorsoftware creëert alleen het apparaat zelf, maar gebruikt echte software om het te bedienen. Maar als u niet over de mogelijkheid beschikt om echte Cisco IOS-software te gebruiken, is Packet Tracer uw beste optie.
We moeten SW0 dus configureren als een VTP-server, hiervoor ga ik naar de configuratiemodus van de globale instellingen en voer de opdracht vtp versie 2 in. Zoals ik al zei, kunnen we de protocolversie installeren die we nodig hebben - 1 of 2, hierin In dat geval hebben we een tweede versie nodig. Vervolgens stellen we met behulp van de vtp-modusopdracht de VTP-modus van de switch in: server, client of transparant. In dit geval hebben we de servermodus nodig en na het invoeren van de vtp-modus serveropdracht geeft het systeem een bericht weer dat het apparaat al in de servermodus staat. Vervolgens moeten we een VTP-domein configureren, waarvoor we de opdracht vtp-domein nwking.org gebruiken. Waarom is dit nodig? Als er een ander apparaat op het netwerk is met een hoger revisienummer, beginnen alle andere apparaten met een lager revisienummer de VLAN-database vanaf dat apparaat te repliceren. Dit gebeurt echter alleen als de apparaten dezelfde domeinnaam hebben. Als u bijvoorbeeld bij nwking.org werkt, geeft u dit domein aan, als u bij Cisco werkt, dan het domein cisco.com, enzovoort. Dankzij de domeinnaam van de apparaten van uw bedrijf kunt u ze onderscheiden van apparaten van een ander bedrijf of van andere externe apparaten op het netwerk. Wanneer u de domeinnaam van een bedrijf aan een apparaat toewijst, maakt u het onderdeel van het netwerk van dat bedrijf.
Het volgende dat u moet doen, is het VTP-wachtwoord instellen. Het is nodig zodat een hacker, die een apparaat heeft met een hoog revisienummer, zijn VTP-instellingen niet naar uw switch kan kopiëren. Ik voer het cisco-wachtwoord in met behulp van de vtp-wachtwoordcisco-opdracht. Hierna is replicatie van VTP-gegevens tussen switches alleen mogelijk als de wachtwoorden overeenkomen. Als het verkeerde wachtwoord wordt gebruikt, wordt de VLAN-database niet bijgewerkt.
Laten we proberen wat meer VLAN's te maken. Om dit te doen, gebruik ik het commando config t, gebruik het vlan 200-commando om een netwerknummer 200 aan te maken, geef het de naam TEST en sla de wijzigingen op met het exit-commando. Vervolgens maak ik nog een vlan 500 en noem deze TEST1. Als je nu het commando show vlan invoert, dan zie je in de tabel met virtuele netwerken van de switch deze twee nieuwe netwerken, waaraan geen enkele poort is toegewezen.
Laten we verder gaan naar SW1 en de VTP-status bekijken. We zien dat hier niets is veranderd behalve de domeinnaam, het aantal VLAN's blijft gelijk op 7. De door ons aangemaakte netwerken zien we niet verschijnen omdat het VTP-wachtwoord niet overeenkomt. Laten we het VTP-wachtwoord op deze switch instellen door achtereenvolgens de opdrachten conf t, vtp pass en vtp-wachtwoord Cisco in te voeren. Het systeem meldde dat de VLAN-database van het apparaat nu het Cisco-wachtwoord gebruikt. Laten we nog eens naar de VTP-status kijken om te controleren of de informatie is gerepliceerd. Zoals u kunt zien, is het aantal bestaande VLAN's automatisch verhoogd naar 9.
Als je naar de VLAN-database van deze switch kijkt, zie je dat de door ons aangemaakte VLAN200- en VLAN500-netwerken daarin automatisch verschenen.
Hetzelfde moet gedaan worden met de laatste schakelaar SW2. Laten we de opdracht show vlan invoeren - u kunt zien dat er geen wijzigingen in zijn opgetreden. Op dezelfde manier is er geen verandering in de VTP-status. Om ervoor te zorgen dat deze schakelaar de informatie bijwerkt, moet u ook een wachtwoord instellen, dat wil zeggen dezelfde opdrachten invoeren als voor SW1. Hierna zal het aantal VLAN's in SW2-status toenemen naar 9.
Daar is VTP voor. Dit is een geweldig ding dat automatisch informatie op alle clientnetwerkapparaten bijwerkt nadat er wijzigingen zijn aangebracht aan het serverapparaat. U hoeft niet handmatig wijzigingen aan te brengen in de VLAN-database van alle switches; de replicatie vindt automatisch plaats. Als u 200 netwerkapparaten heeft, worden de wijzigingen die u aanbrengt op alle tweehonderd apparaten tegelijk opgeslagen. Voor het geval dat we er zeker van moeten zijn dat SW2 ook een VTP-client is, gaan we dus naar de instellingen met het commando config t en voeren we het vtp mode client-commando in.
In ons netwerk bevindt dus alleen de eerste switch zich in de VTP Server-modus, de andere twee werken in de VTP Client-modus. Als ik nu naar de SW2-instellingen ga en het vlan 1000-commando invoer, krijg ik de melding: “configuring VTP VLAN is not allow when the device is in client mode.” Ik kan dus geen wijzigingen aanbrengen in de VLAN-database als de switch in de VTP-clientmodus staat. Als ik wijzigingen wil aanbrengen, moet ik naar de switchserver gaan.
Ik ga naar de SW0-terminalinstellingen en voer de commando's vlan 999 in, noem IMRAN en sluit af. Dit nieuwe netwerk is verschenen in de VLAN-database van deze switch, en als ik nu naar de database van de client-switch SW2 ga, zie ik dat dezelfde informatie hier is verschenen, dat wil zeggen dat er replicatie heeft plaatsgevonden.
Zoals ik al zei, VTP is een geweldig stukje software, maar als het verkeerd wordt gebruikt, kan het een heel netwerk verstoren. Daarom moet u zeer voorzichtig zijn bij het omgaan met het bedrijfsnetwerk als de domeinnaam en het VTP-wachtwoord niet zijn ingesteld. In dit geval hoeft de hacker alleen maar de kabel van zijn switch in een netwerkaansluiting aan de muur te steken, verbinding te maken met een willekeurige kantoorswitch via het DTP-protocol en vervolgens, met behulp van de aangemaakte trunk, alle informatie bij te werken met behulp van het VTP-protocol. . Op deze manier kan een hacker alle belangrijke VLAN's verwijderen, waarbij hij profiteert van het feit dat het revisienummer van zijn apparaat hoger is dan het revisienummer van andere switches. In dit geval zullen de switches van het bedrijf automatisch alle VLAN-database-informatie vervangen door informatie die is gerepliceerd door de kwaadaardige switch, en zal uw hele netwerk instorten.
Dit komt doordat computers via een netwerkkabel zijn aangesloten op een specifieke switchpoort waaraan VLAN 10 of VLAN20 is toegewezen. Als deze netwerken uit de LAN-database van de switch worden verwijderd, wordt automatisch de poort van het niet-bestaande netwerk uitgeschakeld. Normaal gesproken kan het netwerk van een bedrijf instorten, juist omdat de switches eenvoudigweg poorten uitschakelen die zijn gekoppeld aan VLAN's die tijdens de volgende update zijn verwijderd.
Om te voorkomen dat een dergelijk probleem zich voordoet, moet u een VTP-domeinnaam en wachtwoord instellen of de Cisco Port Security-functie gebruiken, waarmee u de MAC-adressen van switchpoorten kunt beheren en verschillende beperkingen op het gebruik ervan kunt introduceren. Als iemand anders bijvoorbeeld het MAC-adres probeert te wijzigen, gaat de poort onmiddellijk uit. We zullen deze functie van Cisco-switches binnenkort nader bekijken, maar voor nu hoeft u alleen maar te weten dat u met Port Security ervoor kunt zorgen dat VTP wordt beschermd tegen een aanvaller.
Laten we samenvatten wat een VTP-instelling is. Dit is de keuze van de protocolversie - 1 of 2, de toewijzing van de VTP-modus - server, client of transparant. Zoals ik al zei, werkt de laatste modus de VLAN-database van het apparaat zelf niet bij, maar verzendt hij eenvoudig alle wijzigingen naar aangrenzende apparaten. Hieronder volgen de opdrachten voor het toekennen van een domeinnaam en wachtwoord: vtp-domein <domeinnaam> en vtp-wachtwoord <wachtwoord>.
Laten we het nu hebben over de VTP Snoei-instellingen. Als je naar de netwerktopologie kijkt, zie je dat alle drie de switches dezelfde VLAN-database hebben, wat betekent dat VLAN10 en VLAN20 deel uitmaken van alle drie de switches. Technisch gezien heeft switch SW3 geen VLAN2 nodig omdat deze geen poorten heeft die bij dit netwerk horen. Hoe dan ook bereikt al het verkeer dat vanaf de Laptop20-computer via het VLAN0-netwerk wordt verzonden de SW20-switch en gaat van daaruit via de trunk naar de SW1-poorten. Jouw hoofdtaak als netwerkspecialist is ervoor te zorgen dat er zo min mogelijk onnodige gegevens over het netwerk worden verzonden. U moet ervoor zorgen dat de benodigde gegevens worden verzonden, maar hoe kunt u de overdracht beperken van informatie die het apparaat niet nodig heeft?
U moet ervoor zorgen dat verkeer dat bestemd is voor apparaten op VLAN20 niet via de trunk naar de SW2-poorten stroomt als dit niet nodig is. Dat wil zeggen dat Laptop0-verkeer SW1 moet bereiken en vervolgens naar computers op VLAN20, maar mag niet verder gaan dan de rechter trunkpoort van SW1. Dit kan worden bereikt met behulp van VTP-snoei.
Om dit te doen, moeten we naar de instellingen van de VTP-server SW0 gaan, omdat zoals ik al zei, VTP-instellingen alleen via de server kunnen worden gemaakt, naar de algemene configuratie-instellingen gaan en het vtp-pruning-commando typen. Omdat Packet Tracer slechts een simulatieprogramma is, staat een dergelijke opdracht niet in de opdrachtregelprompts. Wanneer ik echter vtp-pruning typ en op Enter druk, vertelt het systeem mij dat de vtp-pruning-modus niet beschikbaar is.
Met behulp van het commando show vtp status zullen we zien dat de VTP Snoeien-modus uitgeschakeld is, dus we moeten deze beschikbaar maken door deze naar de ingeschakelde positie te verplaatsen. Nadat we dit hebben gedaan, activeren we de VTP-pruning-modus op alle drie de switches van ons netwerk binnen het netwerkdomein.
Laat me u eraan herinneren wat VTP-snoeien is. Wanneer we deze modus inschakelen, informeert switchserver SW0 switch SW2 dat alleen VLAN10 op zijn poorten is geconfigureerd. Hierna vertelt schakelaar SW2 schakelaar SW1 dat deze geen ander verkeer nodig heeft dan verkeer bedoeld voor VLAN10. Dankzij VTP Snoeien heeft switch SW1 nu de informatie dat hij geen VLAN20-verkeer langs de SW1-SW2-trunk hoeft te sturen.
Voor u als netwerkbeheerder is dit erg handig. Je hoeft opdrachten niet handmatig in te voeren, want de switch is slim genoeg om precies te versturen wat het specifieke netwerkapparaat nodig heeft. Als je morgen een andere marketingafdeling in het volgende gebouw plaatst en zijn VLAN20-netwerk aansluit op switch SW2, zal die switch switch SW1 onmiddellijk vertellen dat hij nu VLAN10 en VLAN20 heeft en vraagt hem om verkeer voor beide netwerken door te sturen. Deze informatie wordt voortdurend bijgewerkt op alle apparaten, waardoor de communicatie efficiënter wordt.
Er is een andere manier om de overdracht van verkeer te specificeren: dit is door een opdracht te gebruiken die alleen gegevensoverdracht voor het opgegeven VLAN toestaat. Ik ga naar de instellingen van switch SW1, waar ik geïnteresseerd ben in poort Fa0/4, en voer de commando's int fa0/4 en switchport trunk allow vlan in. Omdat ik al weet dat SW2 alleen VLAN10 heeft, kan ik SW1 vertellen om alleen verkeer voor dat netwerk op de trunkpoort toe te staan door het toegestane vlan-commando te gebruiken. Daarom heb ik trunkpoort Fa0/4 geprogrammeerd om alleen verkeer voor VLAN10 door te laten. Dit betekent dat deze poort geen verder verkeer van VLAN1, VLAN20 of enig ander netwerk dan het opgegeven netwerk toestaat.
U vraagt zich misschien af wat u beter kunt gebruiken: VTP Snoeien of het toegestane vlan-commando. Het antwoord is subjectief omdat het in sommige gevallen zinvol is om de eerste methode te gebruiken, en in andere gevallen is het zinvol om de tweede te gebruiken. Als netwerkbeheerder is het aan jou om de beste oplossing te kiezen. In sommige gevallen kan de beslissing om een poort te programmeren om verkeer van een specifiek VLAN toe te staan goed zijn, maar in andere gevallen kan het slecht zijn. In het geval van ons netwerk kan het gebruik van de toegestane vlan-opdracht gerechtvaardigd zijn als we de netwerktopologie niet gaan veranderen. Maar als iemand later een groep apparaten met behulp van VLAN2 aan SW 20 wil toevoegen, is het raadzaam om de VTP-pruning-modus te gebruiken.
Voor het instellen van VTP Snoeien zijn dus de volgende opdrachten nodig. Het vtp-pruning-commando maakt automatisch gebruik van deze modus mogelijk. Als u VTP-pruning van een trunkpoort wilt configureren om verkeer van een specifiek VLAN handmatig door te laten, gebruik dan de opdracht om de trunkpoortnummerinterface <#> te selecteren, de trunkmodus switchport-modus trunk in te schakelen en de transmissie van verkeer toe te staan naar een specifiek netwerk met behulp van de switchport trunk toegestane vlan-opdracht .
In het laatste commando kunt u 5 parameters gebruiken. Alle betekent dat verkeerstransmissie voor alle VLAN's is toegestaan, geen - verkeerstransmissie voor alle VLAN's is verboden. Als u de parameter add gebruikt, kunt u de verkeersdoorvoer voor een ander netwerk toevoegen. We staan bijvoorbeeld VLAN10-verkeer toe, en met het add-commando kunnen we ook VLAN20-verkeer doorlaten. Met de opdracht remove kunt u een van de netwerken verwijderen. Als u bijvoorbeeld de parameter remove 20 gebruikt, blijft alleen VLAN10-verkeer over.
Laten we nu eens kijken naar het native VLAN. We hebben al gezegd dat native VLAN een virtueel netwerk is voor het doorgeven van niet-gelabeld verkeer via een specifieke trunkpoort.
Ik ga naar de specifieke poortinstellingen zoals aangegeven door de opdrachtregelkop SW(config-if)# en gebruik de opdracht switchport trunk native vlan <netwerknummer>, bijvoorbeeld VLAN10. Nu gaat al het verkeer op VLAN10 via de niet-gecodeerde trunk.
Laten we terugkeren naar de logische netwerktopologie in het Packet Tracer-venster. Als ik het native vlan 20-commando van de switchport trunk gebruik op switchpoort Fa0/4, dan zal al het verkeer op VLAN20 ongelabeld door de Fa0/4 – SW2-trunk stromen. Wanneer switch SW2 dit verkeer ontvangt, zal hij denken: “dit is niet-gelabeld verkeer, wat betekent dat ik het naar het native VLAN moet routeren.” Voor deze switch is het native VLAN het VLAN1-netwerk. Netwerken 1 en 20 zijn op geen enkele manier met elkaar verbonden, maar aangezien de native VLAN-modus wordt gebruikt, hebben we de mogelijkheid om VLAN20-verkeer naar een compleet ander netwerk te routeren. Dit verkeer zal echter niet ingekapseld zijn en de netwerken zelf moeten nog steeds overeenkomen.
Laten we dit eens bekijken met een voorbeeld. Ik ga naar de instellingen van SW1 en gebruik de opdracht switchport trunk native vlan 10. Nu zal al het VLAN10-verkeer ongecodeerd uit de trunkpoort komen. Wanneer de switch trunkpoort SW2 bereikt, begrijpt hij dat hij deze moet doorsturen naar VLAN1. Als gevolg van deze beslissing zal het verkeer de computers PC2, 3 en 4 niet kunnen bereiken, omdat deze zijn aangesloten op de switch-toegangspoorten die bedoeld zijn voor VLAN10.
Technisch gezien zal dit ervoor zorgen dat het systeem rapporteert dat het native VLAN van poort Fa0/4, dat deel uitmaakt van VLAN10, niet overeenkomt met de poort Fa0/1, die deel uitmaakt van VLAN1. Dit betekent dat de opgegeven poorten niet in de trunkmodus kunnen werken vanwege een native VLAN-mismatch.
Bedankt dat je bij ons bent gebleven. Vind je onze artikelen leuk? Wil je meer interessante inhoud zien? Steun ons door een bestelling te plaatsen of door vrienden aan te bevelen, 30% korting voor Habr-gebruikers op een unieke analoog van instapservers, die door ons voor u is uitgevonden: (beschikbaar met RAID1 en RAID10, tot 24 cores en tot 40GB DDR4).
Dell R730xd 2 keer goedkoper? Alleen hier in Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vanaf $99! Lees over
Bron: www.habr.com