I dag vil vi fortsette vår diskusjon av VLAN og diskutere VTP-protokollen, samt konseptene for VTP-beskjæring og Native VLAN. Vi har allerede snakket om VTP i en av de tidligere videoene, og det første du bør tenke på når du hører om VTP er at det ikke er en trunking-protokoll, til tross for at den kalles en "VLAN-trunking-protokoll."
Som du vet er det to populære trunking-protokoller – den proprietære Cisco ISL-protokollen, som ikke brukes i dag, og 802.q-protokollen, som brukes i nettverksenheter fra ulike produsenter for å kapsle inn trunking-trafikk. Denne protokollen brukes også i Cisco-svitsjer. Vi har allerede sagt at VTP er en VLAN-synkroniseringsprotokoll, det vil si at den er designet for å synkronisere VLAN-databasen på tvers av alle nettverkssvitsjer.
Vi nevnte forskjellige VTP-moduser - server, klient, transparent. Hvis enheten bruker servermodus, lar dette deg gjøre endringer, legge til eller fjerne VLAN. Klientmodus lar deg ikke gjøre endringer i bryterinnstillingene, du kan konfigurere VLAN-databasen bare gjennom VTP-serveren, og den vil bli replikert på alle VTP-klienter. En svitsj i transparent modus gjør ikke endringer i sin egen VLAN-database, men går ganske enkelt gjennom seg selv og overfører endringene til neste enhet i klientmodus. Denne modusen ligner på å deaktivere VTP på en spesifikk enhet, og gjør den til en transportør av VLAN-endringsinformasjon.
La oss gå tilbake til Packet Tracer-programmet og nettverkstopologien som ble diskutert i forrige leksjon. Vi konfigurerte et VLAN10-nettverk for salgsavdelingen og et VLAN20-nettverk for markedsavdelingen, og kombinerte dem med tre brytere.
Mellom svitsjerne SW0 og SW1 utføres kommunikasjon over VLAN20-nettverket, og mellom SW0 og SW2 er det kommunikasjon over VLAN10-nettverket på grunn av at vi har lagt VLAN10 til VLAN-databasen til svitsj SW1.
For å vurdere driften av VTP-protokollen, la oss bruke en av bryterne som en VTP-server, la den være SW0. Hvis du husker det, fungerer som standard alle brytere i VTP-servermodus. La oss gå til kommandolinjeterminalen til bryteren og gå inn på kommandoen show vtp status. Du ser at gjeldende VTP-protokollversjon er 2 og konfigurasjonsrevisjonsnummeret er 4. Hvis du husker, hver gang endringer gjøres i VTP-databasen, øker revisjonsnummeret med én.
Maksimalt antall støttede VLAN-er er 255. Dette antallet avhenger av merket til den spesifikke Cisco-svitsjen, siden forskjellige svitsjer kan støtte forskjellige antall lokale virtuelle nettverk. Antall eksisterende VLAN-er er 7, om et minutt skal vi se på hva disse nettverkene er. VTP-kontrollmodus er server, domenenavn er ikke angitt, VTP-beskjæringsmodus er deaktivert, vi kommer tilbake til dette senere. VTP V2 og VTP Traps Generation modi er også deaktivert. Du trenger ikke å vite om de to siste modusene for å bestå 200-125 CCNA eksamen, så ikke bekymre deg for dem.
La oss ta en titt på VLAN-databasen ved å bruke kommandoen show vlan. Som vi allerede så i forrige video, har vi 4 nettverk som ikke støttes: 1002, 1003, 1004 og 1005.
Den viser også de 2 nettverkene vi opprettet, VLAN10 og 20, og standardnettverket, VLAN1. La oss nå gå videre til en annen bryter og angi den samme kommandoen for å se VTP-statusen. Du ser at revisjonsnummeret til denne bryteren er 3, den er i VTP-servermodus og all annen informasjon ligner på den første bryteren. Når jeg går inn i show VLAN-kommandoen, kan jeg se at vi har gjort 2 endringer i innstillingene, en mindre enn bryter SW0, som er grunnen til at revisjonsnummeret til SW1 er 3. Vi har gjort 3 endringer i standardinnstillingene til den første bytte, derfor økte revisjonstallet til 4.
La oss nå se på statusen til SW2. Revisjonsnummeret her er 1, noe som er merkelig. Vi må ha en ny revisjon fordi 1 innstillingsendring ble gjort. La oss se på VLAN-databasen.
Vi gjorde en endring, opprettet VLAN10, og jeg vet ikke hvorfor den informasjonen ikke ble oppdatert. Kanskje dette skjedde fordi vi ikke har et ekte nettverk, men en programvarenettverksimulator, som kan ha feil. Når du har muligheten til å jobbe med ekte enheter mens du jobber hos Cisco, vil det hjelpe deg mer enn Packet Tracer-simulatoren. En annen nyttig ting i fravær av ekte enheter ville være GNC3, eller en grafisk Cisco-nettverkssimulator. Dette er en emulator som bruker det virkelige operativsystemet til en enhet, for eksempel en ruter. Det er forskjell på en simulator og en emulator - førstnevnte er et program som ser ut som en ekte ruter, men som ikke er en. Emulatorprogramvaren lager bare selve enheten, men bruker ekte programvare for å betjene den. Men hvis du ikke har muligheten til å kjøre faktisk Cisco IOS-programvare, er Packet Tracer det beste alternativet.
Så vi må konfigurere SW0 som en VTP-server, for dette går jeg inn i konfigurasjonsmodusen for globale innstillinger og skriver inn kommandoen vtp versjon 2. Som sagt kan vi installere protokollversjonen vi trenger - 1 eller 2, i denne i tilfelle vi trenger en andre versjon. Deretter, ved å bruke vtp-modus-kommandoen, setter vi VTP-modusen til bryteren - server, klient eller transparent. I dette tilfellet trenger vi servermodus, og etter å ha skrevet inn kommandoen vtp mode server, viser systemet en melding om at enheten allerede er i servermodus. Deretter må vi konfigurere et VTP-domene, som vi bruker kommandoen vtp-domene nwking.org for. Hvorfor er dette nødvendig? Hvis det er en annen enhet på nettverket med et høyere revisjonsnummer, begynner alle andre enheter med et lavere revisjonsnummer å replikere VLAN-databasen fra den enheten. Dette skjer imidlertid bare hvis enhetene har samme domenenavn. For eksempel, hvis du jobber på nwking.org, angir du dette domenet, hvis du er hos Cisco, deretter domenet cisco.com, og så videre. Domenenavnet til bedriftens enheter lar deg skille dem fra enheter fra et annet selskap eller fra andre eksterne enheter på nettverket. Når du tilordner et selskaps domenenavn til en enhet, gjør du den til en del av selskapets nettverk.
Den neste tingen å gjøre er å angi VTP-passordet. Det er nødvendig slik at en hacker som har en enhet med et høyt revisjonsnummer, ikke kan kopiere VTP-innstillingene til bryteren din. Jeg skriver inn cisco-passordet ved å bruke vtp password cisco-kommandoen. Etter dette vil replikering av VTP-data mellom brytere bare være mulig hvis passordene samsvarer. Hvis feil passord brukes, vil ikke VLAN-databasen bli oppdatert.
La oss prøve å lage noen flere VLAN. For å gjøre dette bruker jeg config t-kommandoen, bruker vlan 200-kommandoen for å lage et nettverksnummer 200, gir det navnet TEST og lagrer endringene med exit-kommandoen. Så lager jeg en annen vlan 500 og kaller den TEST1. Hvis du nå skriver inn kommandoen show vlan, kan du i tabellen over virtuelle nettverk til svitsjen se disse to nye nettverkene, som ikke en eneste port er tilordnet.
La oss gå videre til SW1 og se dens VTP-status. Vi ser at ingenting er endret her bortsett fra domenenavnet, antall VLAN forblir lik 7. Vi ser ikke nettverkene vi opprettet vises fordi VTP-passordet ikke stemmer. La oss angi VTP-passordet på denne bryteren ved å legge inn kommandoene conf t, vtp pass og vtp passord Cisco. Systemet rapporterte at enhetens VLAN-database nå bruker Cisco-passordet. La oss ta en ny titt på VTP-statusen for å sjekke om informasjonen har blitt replikert. Som du kan se, har antallet eksisterende VLAN automatisk økt til 9.
Hvis du ser på VLAN-databasen til denne bryteren, kan du se at VLAN200- og VLAN500-nettverkene vi opprettet automatisk dukket opp i den.
Det samme må gjøres med den siste bryteren SW2. La oss gå inn i show vlan-kommandoen - du kan se at ingen endringer har skjedd i den. På samme måte er det ingen endring i VTP-statusen. For at denne bryteren skal oppdatere informasjonen, må du også sette opp et passord, det vil si å skrive inn de samme kommandoene som for SW1. Etter dette vil antallet VLAN i SW2-status øke til 9.
Det er det VTP er for. Dette er en flott ting som automatisk oppdaterer informasjon i alle klientnettverksenheter etter at endringer er gjort på serverenheten. Du trenger ikke å gjøre endringer manuelt i VLAN-databasen for alle brytere - replikering skjer automatisk. Hvis du har 200 nettverksenheter, vil endringene du gjør, lagres på alle to hundre enhetene samtidig. Bare i tilfelle må vi sørge for at SW2 også er en VTP-klient, så la oss gå inn i innstillingene med config t-kommandoen og angi vtp mode-klientkommandoen.
I vårt nettverk er derfor bare den første bryteren i VTP-servermodus, de to andre fungerer i VTP-klientmodus. Hvis jeg nå går inn i SW2-innstillingene og skriver inn vlan 1000-kommandoen, vil jeg motta meldingen: "å konfigurere VTP VLAN er ikke tillatt når enheten er i klientmodus." Dermed kan jeg ikke gjøre noen endringer i VLAN-databasen hvis bryteren er i VTP-klientmodus. Hvis jeg vil gjøre noen endringer, må jeg gå til switch-serveren.
Jeg går til SW0-terminalinnstillingene og skriver inn kommandoene vlan 999, navngi IMRAN og avslutter. Dette nye nettverket har dukket opp i VLAN-databasen til denne svitsjen, og hvis jeg nå går til databasen til klientsvitsjen SW2, vil jeg se at den samme informasjonen har dukket opp her, det vil si at replikering har skjedd.
VTP er som sagt en flott programvare, men hvis den brukes feil, kan den forstyrre et helt nettverk. Derfor må du være svært forsiktig når du håndterer bedriftens nettverk hvis domenenavnet og VTP-passordet ikke er angitt. I dette tilfellet trenger hackeren bare å koble kabelen til bryteren til en nettverkskontakt på veggen, koble til en hvilken som helst kontorsvitsj ved hjelp av DTP-protokollen og deretter, ved å bruke den opprettede stammen, oppdatere all informasjon ved hjelp av VTP-protokollen . På denne måten kan en hacker slette alle viktige VLAN-er, og dra nytte av det faktum at revisjonsnummeret til enheten hans er høyere enn revisjonsnummeret til andre brytere. I dette tilfellet vil selskapets svitsjer automatisk erstatte all VLAN-databaseinformasjon med informasjon replikert fra den ondsinnede svitsjen, og hele nettverket ditt vil kollapse.
Dette skyldes det faktum at datamaskiner kobles ved hjelp av en nettverkskabel til en spesifikk svitsjport som VLAN 10 eller VLAN20 er tilordnet. Hvis disse nettverkene slettes fra svitsjens LAN-database, vil den automatisk deaktivere porten som tilhører det ikke-eksisterende nettverket. Vanligvis kan et selskaps nettverk kollapse nettopp fordi svitsjene ganske enkelt deaktiverer porter knyttet til VLAN som ble fjernet under neste oppdatering.
For å forhindre at et slikt problem oppstår, må du angi et VTP-domenenavn og passord eller bruke Cisco Port Security-funksjonen, som lar deg administrere MAC-adressene til svitsjeporter, og innføre ulike begrensninger på bruken av dem. For eksempel, hvis noen andre prøver å endre MAC-adressen, vil porten umiddelbart gå ned. Vi skal snart se nærmere på denne funksjonen til Cisco-svitsjer, men foreløpig er alt du trenger å vite at Port Security lar deg sørge for at VTP er beskyttet mot en angriper.
La oss oppsummere hva en VTP-innstilling er. Dette er valget av protokollversjon - 1 eller 2, tildeling av VTP-modus - server, klient eller transparent. Som jeg allerede sa, oppdaterer ikke sistnevnte modus VLAN-databasen til selve enheten, men overfører ganske enkelt alle endringer til naboenheter. Følgende er kommandoene for å tilordne et domenenavn og passord: vtp-domene <domenenavn> og vtp-passord <passord>.
La oss nå snakke om innstillingene for VTP-beskjæring. Hvis du ser på nettverkstopologien kan du se at alle tre switchene har samme VLAN-database, noe som betyr at VLAN10 og VLAN20 er en del av alle 3 switchene. Teknisk sett trenger ikke switch SW2 VLAN20 fordi den ikke har porter som tilhører dette nettverket. Imidlertid, uansett dette, kommer all trafikk som sendes fra Laptop0-datamaskinen via VLAN20-nettverket til SW1-svitsjen og går fra den gjennom stammen til SW2-portene. Din hovedoppgave som nettverksspesialist er å sørge for at så lite unødvendig data som mulig overføres over nettverket. Du må sørge for at nødvendige data overføres, men hvordan kan du begrense overføringen av informasjon som enheten ikke trenger?
Du må sørge for at trafikk destinert for enheter på VLAN20 ikke flyter til SW2-portene gjennom trunk når det ikke er nødvendig. Det vil si at Laptop0-trafikk skal nå SW1 og deretter til datamaskiner på VLAN20, men bør ikke gå utover den høyre trunkporten til SW1. Dette kan oppnås ved hjelp av VTP-beskjæring.
For å gjøre dette, må vi gå til innstillingene til VTP-serveren SW0, for som jeg allerede sa, VTP-innstillinger kan bare gjøres gjennom serveren, gå til de globale konfigurasjonsinnstillingene og skriv inn vtp pruning-kommandoen. Siden Packet Tracer bare er et simuleringsprogram, er det ingen slik kommando i kommandolinjemeldingene. Men når jeg skriver vtp pruning og trykker Enter, forteller systemet meg at vtp pruning mode ikke er tilgjengelig.
Ved å bruke kommandoen show vtp status, vil vi se at VTP-beskjæringsmodusen er i deaktivert tilstand, så vi må gjøre den tilgjengelig ved å flytte den til aktiveringsposisjonen. Etter å ha gjort dette, aktiverer vi VTP-beskjæringsmodus på alle tre bryterne i nettverket vårt innenfor nettverksdomenet.
La meg minne deg på hva VTP-beskjæring er. Når vi aktiverer denne modusen, informerer switchserver SW0 switch SW2 om at kun VLAN10 er konfigurert på portene. Etter dette forteller switch SW2 switch SW1 at den ikke trenger annen trafikk enn trafikk beregnet på VLAN10. Nå, takket være VTP-beskjæring, har bryteren SW1 informasjonen om at den ikke trenger å sende VLAN20-trafikk langs SW1-SW2-trunken.
Dette er veldig praktisk for deg som nettverksadministrator. Du trenger ikke å legge inn kommandoer manuelt fordi bryteren er smart nok til å sende akkurat det den spesifikke nettverksenheten trenger. Hvis du i morgen setter en annen markedsavdeling i neste bygning og kobler VLAN20-nettverket til switch SW2, vil den bryteren umiddelbart fortelle switch SW1 at den nå har VLAN10 og VLAN20 og ber den videresende trafikk for begge nettverkene. Denne informasjonen oppdateres kontinuerlig på tvers av alle enheter, noe som gjør kommunikasjonen mer effektiv.
Det er en annen måte å spesifisere overføring av trafikk - dette er å bruke en kommando som tillater dataoverføring kun for det angitte VLAN. Jeg går til innstillingene til switch SW1, hvor jeg er interessert i port Fa0/4, og skriver inn kommandoene int fa0/4 og switchport trunk tillatt vlan. Siden jeg allerede vet at SW2 bare har VLAN10, kan jeg fortelle SW1 å bare tillate trafikk for det nettverket på trunkporten ved å bruke den tillatte vlan-kommandoen. Så jeg programmerte trunkport Fa0/4 til å bære trafikk kun for VLAN10. Dette betyr at denne porten ikke vil tillate trafikk fra VLAN1, VLAN20 eller noe annet nettverk enn det spesifiserte.
Du lurer kanskje på hva som er bedre å bruke: VTP-beskjæring eller den tillatte vlan-kommandoen. Svaret er subjektivt fordi det i noen tilfeller er fornuftig å bruke den første metoden, og i andre er det fornuftig å bruke den andre. Som nettverksadministrator er det opp til deg å velge den beste løsningen. I noen tilfeller kan beslutningen om å programmere en port for å tillate trafikk fra et spesifikt VLAN være god, men i andre kan den være dårlig. Når det gjelder nettverket vårt, kan bruk av den tillatte vlan-kommandoen være rettferdiggjort hvis vi ikke skal endre nettverkstopologien. Men hvis noen senere ønsker å legge til en gruppe enheter som bruker VLAN2 til SW 20, vil det være mer tilrådelig å bruke VTP-beskjæringsmodus.
Så, å sette opp VTP-beskjæring innebærer å bruke følgende kommandoer. vtp beskjæringskommandoen gir automatisk bruk av denne modusen. Hvis du vil konfigurere VTP-beskjæring av en trunkport for å tillate trafikk av et spesifikt VLAN å passere manuelt, bruk kommandoen for å velge trunkportnummergrensesnittet <#>, aktivere trunkmodus-svitsjportmodus-trunken og tillate overføring av trafikk til et spesifikt nettverk ved hjelp av switchport trunk allowed vlan-kommandoen .
I den siste kommandoen kan du bruke 5 parametere. Alt betyr at trafikkoverføring for alle VLAN er tillatt, ingen – trafikkoverføring for alle VLAN er forbudt. Hvis du bruker add-parameteren, kan du legge til trafikkgjennomstrømning for et annet nettverk. For eksempel tillater vi VLAN10-trafikk, og med add-kommandoen kan vi også la VLAN20-trafikk passere. Fjern-kommandoen lar deg fjerne et av nettverkene, hvis du for eksempel bruker parameteren remove 20, vil bare VLAN10-trafikk være igjen.
La oss nå se på det opprinnelige VLAN. Vi har allerede sagt at native VLAN er et virtuelt nettverk for å sende umerket trafikk gjennom en spesifikk trunkport.
Jeg går inn i de spesifikke portinnstillingene som angitt av kommandolinjeoverskriften SW(config-if)# og bruker kommandoen switchport trunk native vlan <nettverksnummer>, for eksempel VLAN10. Nå vil all trafikk på VLAN10 gå gjennom den umerkede trunk.
La oss gå tilbake til den logiske nettverkstopologien i Packet Tracer-vinduet. Hvis jeg bruker switchport trunk native vlan 20-kommandoen på switchport Fa0/4, vil all trafikk på VLAN20 flyte gjennom Fa0/4 – SW2-trunken umerket. Når bryteren SW2 mottar denne trafikken, vil den tenke: "dette er umerket trafikk, noe som betyr at jeg bør rute den til det opprinnelige VLAN." For denne svitsjen er det opprinnelige VLAN-nettverket VLAN1-nettverket. Nettverk 1 og 20 er ikke koblet sammen på noen måte, men siden native VLAN-modus brukes, har vi mulighet til å rute VLAN20-trafikk til et helt annet nettverk. Denne trafikken vil imidlertid være uinnkapslet, og selve nettverkene må fortsatt matche.
La oss se på dette med et eksempel. Jeg går inn i SW1s innstillinger og bruker kommandoen switchport trunk native vlan 10. Nå vil all VLAN10-trafikk komme ut av trunkporten umerket. Når den når trunkport SW2, vil svitsjen forstå at den må videresende den til VLAN1. Som et resultat av denne beslutningen vil trafikken ikke kunne nå datamaskinene PC2, 3 og 4, siden de er koblet til switch-tilgangsportene beregnet for VLAN10.
Teknisk sett vil dette føre til at systemet rapporterer at det opprinnelige VLANet til port Fa0/4, som er en del av VLAN10, ikke samsvarer med porten Fa0/1, som er en del av VLAN1. Dette betyr at de spesifiserte portene ikke vil kunne fungere i trunk-modus på grunn av en naturlig VLAN-mismatch.
Takk for at du bor hos oss. Liker du artiklene våre? Vil du se mer interessant innhold? Støtt oss ved å legge inn en bestilling eller anbefale til venner, 30 % rabatt for Habr-brukere på en unik analog av inngangsnivåservere, som ble oppfunnet av oss for deg: (tilgjengelig med RAID1 og RAID10, opptil 24 kjerner og opptil 40 GB DDR4).
Dell R730xd 2 ganger billigere? Bare her i Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Lese om
Kilde: www.habr.com