Dzisiaj przyjrzymy się dynamicznemu protokołowi trunkingowemu DTP i VTP - protokołowi trunkingowemu VLAN. Jak powiedziałem w ostatniej lekcji, będziemy śledzić tematy egzaminu ICND2 w kolejności, w jakiej są wymienione na stronie internetowej Cisco.
Ostatnim razem patrzyliśmy na punkt 1.1, a dziś przyjrzymy się punktowi 1.2 - konfigurowanie, sprawdzanie i rozwiązywanie problemów z połączeniami przełączników sieciowych: dodawanie i usuwanie sieci VLAN z łącza trunkingowego oraz protokoły DTP i VTP w wersjach 1 i 2.
Wszystkie porty przełącznika są domyślnie skonfigurowane do korzystania z trybu Dynamic Auto protokołu DTP. Oznacza to, że gdy podłączone są dwa porty różnych przełączników, łącze trunkingowe jest automatycznie włączane między nimi, jeśli jeden z portów znajduje się w trybie trunk lub pożądanym. Jeśli porty obu przełączników znajdują się w trybie Dynamic Auto, łącze trunkingowe nie jest tworzone.
Wszystko zależy zatem od ustawienia trybów pracy każdego z 2 przełączników. Dla ułatwienia zrobiłem tabelę możliwych kombinacji trybów DTP dwóch przełączników. Widzisz, że jeśli oba przełączniki korzystają z funkcji Dynamic Auto, nie utworzą łącza, ale pozostaną w trybie dostępu. Dlatego też, jeśli chcesz utworzyć łącze trunkingowe pomiędzy dwoma przełącznikami, musisz zaprogramować co najmniej jeden z przełączników w tryb Trunk lub zaprogramować port trunk tak, aby korzystał z trybu Dynamic Desirable. Jak widać z tabeli, każdy z portów przełącznika może pracować w jednym z 4 trybów: Access, Dynamic Auto, Dynamic Desirable lub Trunk.
Jeśli oba porty są skonfigurowane dla dostępu, podłączone przełączniki będą używać trybu dostępu. Jeśli jeden port jest skonfigurowany do trybu Dynamic Auto, a drugi do dostępu, oba będą działać w trybie dostępu. Jeśli jeden port pracuje w trybie Access, a drugi w trybie Trunk, nie będzie możliwości podłączenia przełączników, dlatego nie można zastosować tej kombinacji trybów.
Zatem, aby trunking działał, konieczne jest, aby jeden z portów przełącznika był zaprogramowany na Trunk, a drugi na Trunk, Dynamic Auto lub Dynamic Desirable. Jeśli oba porty są skonfigurowane jako Dynamic Desirable, tworzone jest również łącze trunkingowe.
Różnica pomiędzy Dynamic Desirable i Dynamic Auto polega na tym, że w pierwszym trybie port sam inicjuje łącze trunkingowe, wysyłając ramki DTP do portu drugiego przełącznika. W drugim trybie port przełącznika czeka, aż ktoś zacznie się z nim komunikować, a jeśli porty obu przełączników są skonfigurowane na tryb Dynamic Auto, nigdy nie zostanie utworzone między nimi łącze trunkingowe. W przypadku Dynamic Desirable sytuacja jest odwrotna – jeśli oba porty zostaną skonfigurowane w tym trybie, koniecznie utworzy się między nimi trunk.
Radzę zapamiętać tę tabelę, ponieważ pomoże ona poprawnie skonfigurować połączone ze sobą przełączniki. Przyjrzyjmy się temu aspektowi w programie Packet Tracer. Połączyłem szeregowo 3 przełączniki i teraz będę wyświetlać okna konsoli CLI dla każdego z tych urządzeń na ekranie.
Jeśli wprowadzę polecenie show int trunk, nie zobaczymy żadnego łącza, co jest całkowicie naturalne przy braku niezbędnych ustawień, ponieważ wszystkie przełączniki są skonfigurowane do trybu Dynamic Auto. Jeśli poproszę o pokazanie parametrów interfejsu f0/1 środkowego przełącznika, zobaczysz, że w trybie ustawień administracyjnych wymieniony jest dynamiczny parametr auto.
Przełącznik trzeci i pierwszy mają podobne ustawienia – mają też port f0/1 w trybie auto dynamiczne. Jeśli pamiętasz tabelę, w przypadku trunkingu wszystkie porty muszą być w trybie trunkingu lub jeden z portów musi być w trybie Dynamic Desirable.
Przejdźmy do ustawień pierwszego przełącznika SW0 i skonfigurujmy port f0/1. Po wpisaniu komendy switchport mode system wyświetli monit o podanie możliwych parametrów trybu: access, dynamic lub trunk. Używam dynamicznego pożądanego polecenia trybu switchport i można zauważyć, jak port trunk f0/1 drugiego przełącznika po wprowadzeniu tego polecenia najpierw przeszedł w stan wyłączenia, a następnie po odebraniu ramki DTP pierwszego przełącznika przeszedł w stan podniesiony.
Jeśli teraz wprowadzimy polecenie show int trunk w konsoli CLI przełącznika SW1, zobaczymy, że port f0/1 jest w stanie trunkingu. Wpisuję tę samą komendę w konsoli przełącznika SW1 i widzę tę samą informację, czyli teraz między przełącznikami SW0 i SW1 jest zainstalowany trunk. W tym przypadku port pierwszego przełącznika znajduje się w pożądanym trybie, a port drugiego w trybie automatycznym.
Pomiędzy drugim i trzecim przełącznikiem nie ma połączenia, więc wchodzę w ustawienia trzeciego przełącznika i wpisuję polecenie switchport mode dynamic pożądany. Widzisz, że w drugim przełączniku nastąpiły te same zmiany stanu w dół, tylko teraz dotykają portu f0/2, do którego podłączony jest przełącznik 3. Teraz drugi przełącznik ma dwie magistrale: jedną na interfejsie f0/1, drugą na f0/2. Można to zobaczyć, jeśli użyjesz polecenia show int trunk.
Obydwa porty drugiego przełącznika znajdują się w stanie auto, czyli w przypadku trunkingu z sąsiednimi przełącznikami ich porty muszą znajdować się w trybie trunkingowym lub pożądanym, ponieważ w tym przypadku dostępne są tylko 2 tryby ustanowienia trunku. Korzystając z tabeli, zawsze możesz skonfigurować porty przełącznika w taki sposób, aby zorganizować między nimi łącze trunkingowe. Na tym polega istota wykorzystania protokołu dynamicznego trunkingu DTP.
Zacznijmy od protokołu trunkingowego VLAN, czyli VTP. Protokół ten zapewnia synchronizację baz danych VLAN różnych urządzeń sieciowych, realizując transfer zaktualizowanej bazy danych VLAN z jednego urządzenia na drugie. Wróćmy do naszego obwodu 3 przełączników. VTP może działać w 3 trybach: serwerowym, klienckim i przezroczystym. VTP v3 ma inny tryb o nazwie Off, ale egzamin Cisco obejmuje tylko wersje VTP XNUMX i XNUMX.
Tryb serwera służy do tworzenia nowych sieci VLAN, usuwania lub zmiany sieci za pomocą wiersza poleceń przełącznika. W trybie klienta nie można wykonywać żadnych operacji na sieciach VLAN; w tym trybie z serwera aktualizowana jest jedynie baza danych VLAN. Tryb przezroczysty działa tak, jakby protokół VTP był wyłączony, czyli przełącznik nie wysyła własnych komunikatów VTP, ale przesyła aktualizacje z innych przełączników - jeśli aktualizacja dotrze na jeden z portów przełącznika, przepuszcza ją przez siebie i wysyła go dalej przez sieć przez inny port. W trybie przezroczystym przełącznik służy po prostu jako nadajnik wiadomości innych osób bez aktualizacji własnej bazy danych VLAN.
Na tym slajdzie znajdują się polecenia konfiguracyjne protokołu VTP wprowadzone w trybie konfiguracji globalnej. Pierwsze polecenie może zmienić używaną wersję protokołu. Drugie polecenie wybiera tryb pracy VTP.
Jeżeli chcesz utworzyć domenę VTP użyj komendy vtp domain <nazwa domeny>, a aby ustawić hasło VTP musisz wpisać komendę vtp hasło <HASŁO>. Przejdźmy do konsoli CLI pierwszego przełącznika i przyjrzyjmy się statusowi VTP wpisując polecenie show vtp status.
Widzisz, że wersja protokołu VTP jest druga, maksymalna liczba obsługiwanych sieci VLAN to 255, liczba istniejących sieci VLAN to 5, a tryb działania sieci VLAN to serwer. To wszystko są ustawienia domyślne. Omówiliśmy już VTP podczas lekcji z dnia 30., więc jeśli o czymś zapomniałeś, możesz wrócić i obejrzeć ten film jeszcze raz.
Aby zobaczyć bazę danych VLAN, wydaję polecenie show vlan brief. Tutaj pokazane są sieci VLAN1 i VLAN1002-1005. Domyślnie wszystkie wolne interfejsy przełącznika są podłączone do pierwszej sieci - 23 porty Fast Ethernet i 2 porty Gigabit Ethernet, pozostałe 4 sieci VLAN nie są obsługiwane. Bazy danych VLAN pozostałych dwóch przełączników wyglądają dokładnie tak samo, z tą różnicą, że SW1 ma nie 23, ale 22 porty Fast Ethernet wolne dla sieci VLAN, ponieważ f0/1 i f0/2 są zajęte przez łącza trunkingowe. Przypomnę jeszcze raz o czym była mowa w lekcji „Dzień 30” – protokół VTP obsługuje jedynie aktualizację baz danych VLAN.
Jeśli skonfiguruję wiele portów do korzystania z sieci VLAN za pomocą poleceń switchport access i switchport mode access VLAN10, VLAN20 lub VLAN30, konfiguracja tych portów nie zostanie zreplikowana przez VTP, ponieważ VTP aktualizuje jedynie bazę danych VLAN.
Tak więc, jeśli jeden z portów SW1 jest skonfigurowany do pracy z VLAN20, ale tej sieci nie ma w bazie danych VLAN, port zostanie wyłączony. Z kolei aktualizacje baz danych odbywają się tylko przy wykorzystaniu protokołu VTP.
Używając polecenia show vtp status, widzę, że wszystkie 3 przełączniki są teraz w trybie serwera. Przełączę środkowy przełącznik SW1 w tryb przezroczysty za pomocą polecenia przezroczystego trybu vtp, a trzeci przełącznik SW2 w tryb klienta za pomocą polecenia klienta trybu vtp.
Wróćmy teraz do pierwszego przełącznika SW0 i utwórz domenę nwking.org za pomocą polecenia vtp domain <nazwa domeny>. Jeśli teraz spojrzymy na stan VTP drugiego przełącznika, który jest w trybie przezroczystym, to widać, że nie zareagował on w żaden sposób na utworzenie domeny - pole Nazwa domeny VTP pozostało puste. Jednak trzeci przełącznik, który jest w trybie klienta, zaktualizował swoją bazę danych i ma teraz nazwę domeny VTP-nwking.org. Zatem aktualizacja bazy danych przełącznika SW0 przeszła przez SW1 i znalazła odzwierciedlenie w SW2.
Teraz spróbuję zmienić podaną nazwę domeny, dla której przejdę do ustawień SW0 i wpiszę polecenie vtp domain Networking. Jak widać, tym razem aktualizacji nie było - nazwa domeny VTP na trzecim przełączniku pozostała taka sama. Faktem jest, że taka aktualizacja nazwy domeny następuje tylko raz, gdy zmienia się domena domyślna. Jeśli później nazwa domeny VTP ponownie się zmieni, na pozostałych przełącznikach trzeba będzie ją zmienić ręcznie.
Teraz utworzę nową sieć VLAN100 w konsoli CLI pierwszego przełącznika i nazwę ją IMRAN. Pojawił się w bazie VLAN pierwszego przełącznika, ale nie pojawił się w bazie trzeciego przełącznika, ponieważ są to różne domeny. Pamiętaj, że aktualizacja bazy danych VLAN nastąpi tylko wtedy, gdy oba przełączniki mają tę samą domenę lub, jak pokazałem wcześniej, zamiast nazwy domyślnej zostanie ustawiona nowa nazwa domeny.
Wchodzę w ustawienia 3 przełączników i po kolei wchodzę w tryb vtp oraz komendy vtp domain Networking. Należy pamiętać, że przy wprowadzaniu nazwy uwzględniana jest wielkość liter, dlatego pisownia nazwy domeny musi być dokładnie taka sama dla obu przełączników. Teraz ponownie przełączam SW2 w tryb klienta za pomocą polecenia klienta trybu vtp. Zobaczmy co się stanie. Jak widać teraz jeśli nazwa domeny się zgadza to baza SW2 została zaktualizowana i pojawiła się w niej nowa sieć IMRAN VLAN100 i te zmiany nie mają wpływu na przeciętny przełącznik, bo jest w trybie transparentnym.
Jeśli chcesz zabezpieczyć się przed nieautoryzowanym dostępem, możesz utworzyć hasło VTP. Musisz jednak mieć pewność, że urządzenie po drugiej stronie będzie miało dokładnie takie samo hasło, bo tylko w tym przypadku będzie mogło przyjąć aktualizacje VTP.
Następną rzeczą, której się przyjrzymy, będzie przycinanie VTP lub „przycinanie” nieużywanych sieci VLAN. Jeśli w sieci znajduje się 100 urządzeń korzystających z protokołu VTP, aktualizacja bazy danych VLAN na jednym urządzeniu zostanie automatycznie zreplikowana na pozostałych 99 urządzeniach. Jednak nie wszystkie te urządzenia mają sieci VLAN wymienione w aktualizacji, więc informacje o nich mogą nie być potrzebne.
Wysyłanie aktualizacji baz danych VLAN do urządzeń korzystających z VTP oznacza, że wszystkie porty na wszystkich urządzeniach otrzymają informacje o dodanych, usuniętych i zmienionych sieciach VLAN, z którymi mogą nie mieć nic wspólnego. Jednocześnie sieć zostaje zatkana nadmiernym ruchem. Aby temu zapobiec, stosuje się koncepcję przycinania VTP. Aby włączyć tryb „czyszczenia” nieistotnych sieci VLAN na przełączniku, użyj polecenia vtp pruning. Przełączniki będą wtedy automatycznie informować się nawzajem, z jakich sieci VLAN faktycznie korzystają, ostrzegając w ten sposób sąsiadów, że nie muszą wysyłać aktualizacji do sieci, które nie są z nimi połączone.
Na przykład, jeśli SW2 nie ma żadnych portów VLAN10, nie potrzebuje SW1 do wysyłania ruchu do tej sieci. Jednocześnie przełącznik SW1 potrzebuje ruchu VLAN10, ponieważ jeden z jego portów jest podłączony do tej sieci, po prostu nie musi wysyłać tego ruchu do przełącznika SW2.
Jeśli więc SW2 korzysta z trybu czyszczenia vtp, mówi SW1: „proszę nie wysyłać mi ruchu do VLAN10, ponieważ ta sieć nie jest ze mną połączona i żaden z moich portów nie jest skonfigurowany do pracy z tą siecią”. Do tego właśnie służy polecenie czyszczenia vtp.
Istnieje inny sposób filtrowania ruchu dla określonego interfejsu. Umożliwia skonfigurowanie portu na łączu z określoną siecią VLAN. Wadą tej metody jest konieczność ręcznej konfiguracji każdego portu trunk, w związku z czym należy określić, które sieci VLAN są dozwolone, a które zabronione. W tym celu używana jest sekwencja 3 poleceń. Pierwszy wskazuje interfejs, którego dotyczą te ograniczenia, drugi zamienia ten interfejs w port trunk, a trzeci - switchport trunk dozwolony vlan <all/none/add/remove/VLAN number> - pokazuje, która sieć VLAN jest dozwolona na tym porcie: wszystkie, nikt, VLAN do dodania lub VLAN do usunięcia.
W zależności od konkretnej sytuacji możesz wybrać, czego użyć: przycinanie VTP lub dozwolone połączenie Trunk. Niektóre organizacje wolą nie używać protokołu VTP ze względów bezpieczeństwa, dlatego decydują się na ręczną konfigurację trunkingu. Ponieważ polecenie czyszczenia vtp nie działa w Packet Tracer, pokażę je w emulatorze GNS3.
Jeśli wejdziesz do ustawień SW2 i wpiszesz polecenie czyszczenia vtp, system natychmiast zgłosi, że ten tryb jest włączony: Czyszczenie włączone, czyli „czyszczenie” VLAN jest włączane za pomocą tylko jednego polecenia.
Jeśli wpiszemy polecenie show vtp status, zobaczymy, że tryb czyszczenia vtp jest włączony.
Jeśli konfigurujesz ten tryb na serwerze przełączającym, przejdź do jego ustawień i wprowadź polecenie czyszczenia vtp. Oznacza to, że urządzenia podłączone do serwera będą automatycznie korzystać z czyszczenia vtp, aby zminimalizować ruch trunkingowy dla nieistotnych sieci VLAN.
Jeśli nie chcesz korzystać z tego trybu, musisz zalogować się do określonego interfejsu, na przykład e0/0, a następnie wydać polecenie switchport trunk valid vlan. System podpowie Ci możliwe parametry tego polecenia:
— WORD — numer VLAN, który będzie dozwolony na tym interfejsie w trybie trunk;
— add — VLAN, który ma zostać dodany do listy baz danych VLAN;
— all — zezwala na wszystkie sieci VLAN;
— z wyjątkiem — zezwala na wszystkie sieci VLAN z wyjątkiem określonych;
— brak — zabrania wszystkich sieci VLAN;
— usuń — usuń sieć VLAN z listy baz danych sieci VLAN.
Na przykład, jeśli mamy łącze trunkingowe dozwolone dla VLAN10 i chcemy zezwolić na to dla sieci VLAN20, musimy wprowadzić polecenie switchport trunk zezwolenie vlan add 20.
Chcę pokazać Ci coś innego, więc używam polecenia show interfejs trunk. Należy pamiętać, że domyślnie wszystkie sieci VLAN 1-1005 były dozwolone dla łącza trunkingowego, a teraz dodano do nich VLAN10.
Jeśli użyję polecenia switchport trunk available vlan add 20 i ponownie poproszę o pokazanie statusu trunku, zobaczymy, że na trunku są teraz dozwolone dwie sieci – VLAN10 i VLAN20.
W takim przypadku żaden inny ruch, z wyjątkiem ruchu przeznaczonego dla określonych sieci, nie będzie mógł przejść przez to łącze. Zezwalając na ruch tylko w sieciach VLAN 10 i VLAN 20, zablokowaliśmy ruch we wszystkich pozostałych sieciach VLAN. Poniżej opisano, jak ręcznie skonfigurować ustawienia trunkingu dla określonej sieci VLAN na określonym interfejsie przełącznika.
Informujemy, że do końca dnia 17 listopada 2017 roku obowiązuje nas 90% zniżka na pobieranie na naszej stronie prac laboratoryjnych z tego tematu.
Dziękujemy za uwagę i do zobaczenia na kolejnej lekcji wideo!
Dziękujemy za pobyt z nami. Podobają Ci się nasze artykuły? Chcesz zobaczyć więcej ciekawych treści? Wesprzyj nas składając zamówienie lub polecając znajomym, 30% zniżki dla użytkowników Habr na unikalny odpowiednik serwerów klasy podstawowej, który został przez nas wymyślony dla Ciebie: (dostępne z RAID1 i RAID10, do 24 rdzeni i do 40 GB DDR4).
Dell R730xd 2 razy tańszy? Tylko tutaj w Holandii! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gb/s 100 TB — od 99 USD! Czytać o
Źródło: www.habr.com