I dag skal vi se på den dynamiske trunkingprotokollen DTP og VTP - VLAN trunkingprotokoll. Som jeg sa i forrige leksjon, vil vi følge ICND2-eksamensemnene i den rekkefølgen de er oppført på Cisco-nettstedet.
Sist gang vi så på punkt 1.1, og i dag skal vi se på 1.2 – oppsett, kontroll og feilsøking av nettverkssvitsjforbindelser: legge til og fjerne VLAN fra trunk og DTP- og VTP-protokollene versjon 1 og 2.
Alle bryterporter ut av esken er konfigurert som standard til å bruke Dynamic Auto-modusen til DTP-protokollen. Dette betyr at når to porter til forskjellige brytere er koblet til, slås en trunk automatisk på mellom dem hvis en av portene er i trunk- eller ønsket modus. Hvis portene til begge bryterne er i Dynamic Auto-modus, dannes ikke stammen.
Dermed avhenger alt av å stille inn driftsmodusene til hver av de 2 bryterne. For å lette forståelsen laget jeg en tabell over mulige kombinasjoner av DTP-moduser for to brytere. Du ser at hvis begge bryterne bruker Dynamic Auto, vil de ikke danne en trunk, men forbli i Access-modus. Derfor, hvis du vil at en trunk skal opprettes mellom to svitsjer, må du programmere minst én av svitsjene til Trunk-modus, eller programmere trunkporten til å bruke Dynamic Desirable-modus. Som det fremgår av tabellen, kan hver av svitsjportene være i en av 4 moduser: Access, Dynamic Auto, Dynamic Desirable eller Trunk.
Hvis begge portene er konfigurert for tilgang, vil de tilkoblede bryterne bruke tilgangsmodus. Hvis en port er konfigurert for Dynamic Auto og den andre for tilgang, vil begge fungere i tilgangsmodus. Hvis en port opererer i Access-modus og den andre i Trunk-modus, vil det ikke være mulig å koble til bryterne, så denne kombinasjonen av moduser kan ikke brukes.
Så for at trunking skal fungere, er det nødvendig at en av svitsjportene er programmert for Trunk, og den andre for Trunk, Dynamic Auto eller Dynamic Desirable. En trunk dannes også hvis begge portene er konfigurert til Dynamic Desirable.
Forskjellen mellom Dynamic Desirable og Dynamic Auto er at i den første modusen starter porten selv stammen, og sender DTP-rammer til porten til den andre svitsjen. I den andre modusen venter svitsjporten til noen begynner å kommunisere med den, og hvis portene til begge svitsjene er konfigurert til Dynamic Auto, dannes det aldri en trunk mellom dem. Når det gjelder Dynamic Desirable, er situasjonen motsatt - hvis begge portene er konfigurert for denne modusen, vil det nødvendigvis dannes en trunk mellom dem.
Jeg anbefaler deg å huske denne tabellen, da den vil hjelpe deg med å konfigurere bryterne som er koblet til hverandre på riktig måte. La oss se på dette aspektet i Packet Tracer-programmet. Jeg koblet sammen 3 brytere i serie og vil nå vise CLI-konsollvinduene for hver av disse enhetene på skjermen.
Hvis jeg skriver inn kommandoen show int trunk, vil vi ikke se noen trunk, noe som er helt naturlig i mangel av nødvendige innstillinger, siden alle brytere er konfigurert for Dynamic Auto-modus. Hvis jeg ber om å vise f0/1-grensesnittparametrene til den midterste bryteren, vil du se at den dynamiske autoparameteren er oppført i modusen for administrative innstillinger.
Den tredje og første bryteren har lignende innstillinger - de har også port f0/1 i dynamisk automodus. Hvis du husker tabellen, for trunking må alle porter være i trunk-modus eller en av portene må være i Dynamic Desirable-modus.
La oss gå inn i innstillingene til den første bryteren SW0 og konfigurere port f0/1. Etter å ha skrevet inn kommandoen for switchport-modus, vil systemet be deg om mulige modusparametere: tilgang, dynamisk eller trunk. Jeg bruker den dynamiske ønskelige kommandoen for switchport-modus, og du kan legge merke til hvordan trunkport f0/1 til den andre svitsjen, etter å ha skrevet inn denne kommandoen, først gikk i ned-tilstand, og deretter, etter å ha mottatt DTP-rammen til den første svitsjen, gikk inn i opp-tilstand.
Hvis vi nå legger inn kommandoen show int trunk i CLI-konsollen til switch SW1, vil vi se at port f0/1 er i trunking-tilstand. Jeg skriver inn den samme kommandoen i konsollen til bryteren SW1 og ser den samme informasjonen, det vil si at nå er en trunk installert mellom bryterne SW0 og SW1. I dette tilfellet er porten til den første bryteren i ønsket modus, og porten til den andre er i automodus.
Det er ingen forbindelse mellom den andre og tredje bryteren, så jeg går til innstillingene til den tredje bryteren og går inn i kommandoen switchport-modus dynamisk ønskelig. Du ser at i den andre bryteren skjedde de samme ned-opp-tilstandsendringene, bare nå berører de port f0/2, som bryter 3 er koblet til. Nå har den andre bryteren to trunker: en på grensesnitt f0/1, den andre på f0/2. Dette kan sees hvis du bruker kommandoen show int trunk.
Begge portene til den andre svitsjen er i automatisk tilstand, det vil si at for trunking med nabosvitsjer, må portene deres være i trunk eller ønskelig modus, fordi i dette tilfellet er det bare 2 moduser for å etablere en trunk. Ved å bruke tabellen kan du alltid konfigurere svitsjporter på en slik måte at du organiserer en trunk mellom dem. Dette er essensen av å bruke den dynamiske trunking-protokollen DTP.
La oss begynne å se på VLAN trunking-protokollen, eller VTP. Denne protokollen sikrer synkronisering av VLAN-databaser for forskjellige nettverksenheter, og utfører overføringen av den oppdaterte VLAN-databasen fra en enhet til en annen. La oss gå tilbake til vår krets med 3 brytere. VTP kan operere i 3 moduser: server, klient og transparent. VTP v3 har en annen modus kalt Av, men Cisco-eksamenen dekker bare VTP-versjoner XNUMX og XNUMX.
Servermodus brukes til å opprette nye VLAN-er, slette eller endre nettverk gjennom kommandolinjen for bytte. I klientmodus kan ingen operasjoner utføres på VLAN; i denne modusen er det bare VLAN-databasen som oppdateres fra serveren. Den gjennomsiktige modusen fungerer som om VTP-protokollen er deaktivert, det vil si at svitsjen ikke utsteder sine egne VTP-meldinger, men overfører oppdateringer fra andre svitsjer - hvis en oppdatering kommer til en av svitsjportene, sender den den gjennom seg selv og sender den videre over nettverket gjennom en annen port. I transparent modus fungerer bryteren ganske enkelt som en sender av andres meldinger uten å oppdatere sin egen VLAN-database.
På dette lysbildet ser du VTP-protokollkonfigurasjonskommandoer angitt i global konfigurasjonsmodus. Den første kommandoen kan endre protokollversjonen som brukes. Den andre kommandoen velger VTP-driftsmodus.
Hvis du vil opprette et VTP-domene, bruker du kommandoen vtp-domene <domenenavn>, og for å angi VTP-passordet må du skrive inn kommandoen vtp-passord <PASSWORD>. La oss gå til CLI-konsollen til den første svitsjen og se på VTP-statusen ved å skrive inn kommandoen show vtp status.
Du ser at VTP-protokollversjonen er nummer to, det maksimale antallet støttede VLAN er 255, antallet eksisterende VLAN er 5, og VLAN-driftsmodusen er server. Disse er alle standardinnstillinger. Vi diskuterte allerede VTP i dag 30-leksjonen, så hvis du har glemt noe, kan du gå tilbake og se denne videoen igjen.
For å se VLAN-databasen, utsteder jeg kommandoen show vlan short. VLAN1 og VLAN1002-1005 vises her. Som standard er alle gratis grensesnitt til svitsjen koblet til det første nettverket - 23 Fast Ethernet-porter og 2 Gigabit Ethernet-porter, de resterende 4 VLAN-ene støttes ikke. VLAN-databasene til de to andre svitsjene ser nøyaktig like ut, bortsett fra at SW1 ikke har 23, men 22 Fast Ethernet-porter ledig for VLAN, siden f0/1 og f0/2 er okkupert av trunks. La meg minne deg nok en gang om det som ble diskutert i leksjonen "Dag 30" - VTP-protokollen støtter kun oppdatering av VLAN-databaser.
Hvis jeg konfigurerer flere porter til å bruke VLAN med kommandoene for switchport-tilgang og switchport-modustilgang VLAN10, VLAN20 eller VLAN30, vil ikke konfigurasjonen av disse portene replikeres av VTP fordi VTP bare oppdaterer VLAN-databasen.
Så hvis en av SW1-portene er konfigurert til å fungere med VLAN20, men dette nettverket ikke er i VLAN-databasen, vil porten bli deaktivert. I sin tur skjer databaseoppdateringer bare når du bruker VTP-protokollen.
Ved å bruke kommandoen show vtp status ser jeg at alle 3 bryterne nå er i servermodus. Jeg vil bytte den midterste bryteren SW1 til transparent modus med vtp-modus transparent-kommandoen, og den tredje bryteren SW2 til klientmodus med vtp-modus-klientkommandoen.
La oss nå gå tilbake til den første bryteren SW0 og opprette nwking.org-domenet ved å bruke vtp-domene <domenenavn>-kommandoen. Hvis du nå ser på VTP-tilstanden til den andre svitsjen, som er i transparent modus, kan du se at den ikke reagerte på noen måte på opprettelsen av domenet - feltet VTP-domenenavn forble tomt. Den tredje svitsjen, som er i klientmodus, oppdaterte imidlertid databasen og har nå domenenavnet VTP-nwking.org. Dermed gikk oppdateringen av databasen til bryteren SW0 gjennom SW1 og ble reflektert i SW2.
Nå vil jeg prøve å endre det angitte domenenavnet, som jeg vil gå til SW0-innstillingene for og skrive inn vtp-domene NetworKing-kommandoen. Som du kan se, denne gangen var det ingen oppdatering - VTP-domenenavnet på den tredje bryteren forble det samme. Faktum er at en slik oppdatering av domenenavn bare skjer én gang, når standarddomenet endres. Hvis VTP-domenenavnet endres igjen etter dette, må det endres manuelt på de resterende bryterne.
Nå skal jeg lage et nytt VLAN100-nettverk i CLI-konsollen til den første svitsjen og kalle det IMRAN. Den dukket opp i VLAN-databasen til den første svitsjen, men dukket ikke opp i databasen til den tredje svitsjen, fordi disse er forskjellige domener. Husk at oppdatering av VLAN-databasen bare skjer hvis begge bryterne har samme domene, eller, som jeg viste tidligere, et nytt domenenavn er satt i stedet for standardnavnet.
Jeg går inn i innstillingene for 3 brytere og går sekvensielt inn i vtp-modus og vtp-domene Networking-kommandoene. Vær oppmerksom på at inntasting av navn skiller mellom store og små bokstaver, så stavemåten til domenenavnet må være nøyaktig den samme for begge bryterne. Nå setter jeg SW2 tilbake i klientmodus ved å bruke vtp-modus klientkommandoen. La oss se hva som skjer. Som du kan se, nå, hvis domenenavnet samsvarer, har SW2-databasen blitt oppdatert og et nytt VLAN100 IMRAN-nettverk har dukket opp i den, og disse endringene har ingen effekt på den gjennomsnittlige svitsjen, fordi den er i transparent modus.
Hvis du vil beskytte deg mot uautorisert tilgang, kan du opprette et VTP-passord. Du må imidlertid være sikker på at enheten på den andre siden vil ha nøyaktig det samme passordet, for bare i dette tilfellet vil den kunne godta VTP-oppdateringer.
Det neste vi skal se på er VTP-beskjæring, eller "beskjæring" av ubrukte VLAN. Hvis du har 100 enheter på nettverket som bruker VTP, vil VLAN-databaseoppdateringen på én enhet automatisk bli replikert til de andre 99 enhetene. Imidlertid har ikke alle disse enhetene VLAN-ene nevnt i oppdateringen, så informasjon om dem er kanskje ikke nødvendig.
Å sende VLAN-databaseoppdateringer til enheter som bruker VTP betyr at alle porter på alle enheter vil motta informasjon om lagt til, fjernet og endret VLAN som de kanskje ikke har noe å gjøre med. Samtidig blir nettverket tett med overflødig trafikk. For å forhindre at dette skjer, brukes konseptet VTP-trimming. For å aktivere "beskjæringsmodus" for irrelevante VLAN-er på bryteren, bruk vtp-beskjæringskommandoen. Svitsjene vil da automatisk fortelle hverandre hvilke VLAN de faktisk bruker, og advarer dermed naboer om at de ikke trenger å sende oppdateringer til nettverk som ikke er koblet til dem.
For eksempel, hvis SW2 ikke har noen VLAN10-porter, trenger den ikke SW1 for å sende den trafikk for det nettverket. Samtidig trenger switch SW1 VLAN10-trafikk fordi en av portene er koblet til dette nettverket, den trenger bare ikke sende denne trafikken for å bytte SW2.
Så hvis SW2 bruker vtp-beskjæringsmodus, forteller den SW1: "Vennligst ikke send meg trafikk for VLAN10 fordi dette nettverket ikke er koblet til meg og ingen av portene mine er konfigurert til å fungere med dette nettverket." Dette er hva bruk av vtp beskjæringskommandoen gjør.
Det er en annen måte å filtrere trafikk for et spesifikt grensesnitt. Den lar deg konfigurere en port på en trunk med et spesifikt VLAN. Ulempen med denne metoden er behovet for å manuelt konfigurere hver trunkport, som må spesifiseres hvilke VLAN som er tillatt og hvilke som er forbudt. For å gjøre dette brukes en sekvens på 3 kommandoer. Den første indikerer grensesnittet som er påvirket av disse restriksjonene, den andre gjør dette grensesnittet til en trunkport, og den tredje - switchport trunk tillatt vlan <all/none/add/remove/VLAN number> - viser hvilket VLAN som er tillatt på denne porten: alle, ingen, VLAN som skal legges til eller VLAN som skal slettes.
Avhengig av den spesifikke situasjonen, velger du hva du skal bruke: VTP-beskjæring eller Trunk tillatt. Noen organisasjoner foretrekker ikke å bruke VTP av sikkerhetsgrunner, så de velger å konfigurere trunking manuelt. Siden vtp pruning-kommandoen ikke fungerer i Packet Tracer, vil jeg vise den i GNS3-emulatoren.
Hvis du går inn i SW2-innstillingene og skriver inn kommandoen vtp pruning, vil systemet umiddelbart rapportere at denne modusen er aktivert: Beskjæring slått på, det vil si at VLAN "beskjæring" er slått på med bare én kommando.
Hvis vi skriver kommandoen show vtp status, vil vi se at vtp beskjæringsmodus er aktivert.
Hvis du setter opp denne modusen på en svitsjserver, går du til innstillingene og skriver inn kommandoen vtp pruning. Dette betyr at enheter koblet til serveren automatisk vil bruke vtp pruning for å minimere trunking-trafikk for irrelevante VLAN.
Hvis du ikke vil bruke denne modusen, må du logge på et spesifikt grensesnitt, for eksempel e0/0, og deretter gi kommandoen switchport trunk allowed vlan. Systemet vil gi deg hint om mulige parametere for denne kommandoen:
— WORD — VLAN-nummer som vil være tillatt på dette grensesnittet i trunkmodus;
— legg til — VLAN som skal legges til VLAN-databaselisten;
— alle — tillat alle VLAN;
— unntatt — tillat alle VLAN unntatt de spesifiserte;
— ingen — forby alle VLAN;
— fjern — fjern et VLAN fra VLAN-databaselisten.
For eksempel, hvis vi har en trunk som er tillatt for VLAN10 og vi ønsker å tillate den for VLAN20-nettverket, må vi angi kommandoen switchport trunk allowed vlan add 20.
Jeg vil vise deg noe annet, så jeg bruker kommandoen show interface trunk. Vær oppmerksom på at som standard var alle VLAN 1-1005 tillatt for trunk, og nå er VLAN10 lagt til dem.
Hvis jeg bruker kommandoen switchport trunk allowed vlan add 20 og spør igjen for å vise trunkstatusen, kan vi se at trunk nå har to tillatte nettverk - VLAN10 og VLAN20.
I dette tilfellet vil ingen annen trafikk, bortsett fra de som er beregnet for de spesifiserte nettverkene, kunne passere gjennom denne trunk. Ved å tillate trafikk kun for VLAN 10 og VLAN 20, nektet vi trafikk for alle andre VLAN. Slik konfigurerer du trunking-innstillinger manuelt for et spesifikt VLAN på et spesifikt brytergrensesnitt.
Vær oppmerksom på at frem til slutten av dagen den 17. november 2017 har vi 90 % rabatt på kostnadene ved å laste ned laboratoriearbeid om dette emnet på nettsiden vår.
Takk for oppmerksomheten og se deg i neste videoleksjon!
Takk for at du bor hos oss. Liker du artiklene våre? Vil du se mer interessant innhold? Støtt oss ved å legge inn en bestilling eller anbefale til venner, 30 % rabatt for Habr-brukere på en unik analog av inngangsnivåservere, som ble oppfunnet av oss for deg: (tilgjengelig med RAID1 og RAID10, opptil 24 kjerner og opptil 40 GB DDR4).
Dell R730xd 2 ganger billigere? Bare her i Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Lese om
Kilde: www.habr.com