Hoje continuaremos nossa discussão sobre VLANs e discutiremos o protocolo VTP, bem como os conceitos de VTP Pruning e VLAN nativa. Já falamos sobre VTP em um dos vídeos anteriores, e a primeira coisa que deve vir à sua mente ao ouvir falar de VTP é que ele não é um protocolo de trunking, apesar de ser chamado de “protocolo de trunking VLAN”.
Como você sabe, existem dois protocolos de trunking populares - o protocolo Cisco ISL proprietário, que não é usado atualmente, e o protocolo 802.q, que é usado em dispositivos de rede de vários fabricantes para encapsular o tráfego de trunking. Este protocolo também é usado em switches Cisco. Já dissemos que o VTP é um protocolo de sincronização de VLAN, ou seja, foi projetado para sincronizar o banco de dados de VLAN em todos os switches da rede.
Mencionamos diferentes modos VTP – servidor, cliente, transparente. Se o dispositivo usar o modo servidor, isso permitirá fazer alterações, adicionar ou remover VLANs. O modo cliente não permite fazer alterações nas configurações do switch, você pode configurar o banco de dados VLAN apenas através do servidor VTP, e ele será replicado em todos os clientes VTP. Um switch em modo transparente não faz alterações em seu próprio banco de dados de VLAN, mas simplesmente passa por si mesmo e transfere as alterações para o próximo dispositivo em modo cliente. Este modo é semelhante a desabilitar o VTP em um dispositivo específico, transformando-o em um transportador de informações de alteração de VLAN.
Voltemos ao programa Packet Tracer e à topologia de rede discutida na lição anterior. Configuramos uma rede VLAN10 para o departamento de vendas e uma rede VLAN20 para o departamento de marketing, combinando-as com três switches.
Entre os switches SW0 e SW1 a comunicação é realizada pela rede VLAN20, e entre SW0 e SW2 a comunicação pela rede VLAN10 devido ao fato de termos adicionado a VLAN10 ao banco de dados de VLAN do switch SW1.
Para considerar o funcionamento do protocolo VTP, vamos utilizar um dos switches como servidor VTP, seja SW0. Se você se lembra, por padrão todos os switches operam no modo de servidor VTP. Vamos para o terminal de linha de comando do switch e digite o comando show vtp status. Você vê que a versão atual do protocolo VTP é 2 e o número de revisão da configuração é 4. Se você se lembra, toda vez que são feitas alterações no banco de dados VTP, o número de revisão aumenta em um.
O número máximo de VLANs suportadas é 255. Esse número depende da marca do switch Cisco específico, pois diferentes switches podem suportar diferentes números de redes virtuais locais. O número de VLANs existentes é 7, em um minuto veremos o que são essas redes. O modo de controle VTP é servidor, o nome de domínio não está definido, o modo VTP Pruning está desabilitado, voltaremos a isso mais tarde. Os modos VTP V2 e Geração de Traps VTP também estão desabilitados. Você não precisa saber sobre os dois últimos modos para passar no exame 200-125 CCNA, então não se preocupe com eles.
Vamos dar uma olhada no banco de dados VLAN usando o comando show vlan. Como já vimos no vídeo anterior, temos 4 redes não suportadas: 1002, 1003, 1004 e 1005.
Ele também lista as 2 redes que criamos, VLAN10 e 20, e a rede padrão, VLAN1. Agora vamos passar para outro switch e inserir o mesmo comando para visualizar o status do VTP. Você vê que o número de revisão deste switch é 3, ele está no modo de servidor VTP e todas as outras informações são semelhantes às do primeiro switch. Quando entro no comando show VLAN, posso ver que fizemos 2 alterações nas configurações, uma a menos que o switch SW0, e é por isso que o número de revisão do SW1 é 3. Fizemos 3 alterações nas configurações padrão do primeiro switch, portanto seu número de revisão aumentou para 4.
Agora vamos dar uma olhada no status do SW2. O número de revisão aqui é 1, o que é estranho. Precisamos de uma segunda revisão porque foi feita 1 alteração nas configurações. Vejamos o banco de dados VLAN.
Fizemos uma alteração, criando a VLAN10, e não sei por que essa informação não foi atualizada. Talvez isso tenha acontecido porque não temos uma rede real, mas sim um software simulador de rede, que pode apresentar erros. Quando você tiver a oportunidade de trabalhar com dispositivos reais enquanto estagia na Cisco, isso o ajudará mais do que o simulador Packet Tracer. Outra coisa útil na ausência de dispositivos reais seria o GNC3, ou um simulador gráfico de rede Cisco. Este é um emulador que utiliza o sistema operacional real de um dispositivo, como um roteador. Há uma diferença entre um simulador e um emulador - o primeiro é um programa que se parece com um roteador real, mas não é. O software emulador cria apenas o próprio dispositivo, mas usa software real para operá-lo. Mas se você não tiver a capacidade de executar o software Cisco IOS real, o Packet Tracer é sua melhor opção.
Então, precisamos configurar o SW0 como um servidor VTP, para isso entro no modo de configuração de configurações globais e digito o comando vtp versão 2. Como eu disse, podemos instalar a versão do protocolo que precisamos - 1 ou 2, neste caso precisemos de uma segunda versão. A seguir, usando o comando vtp mode, definimos o modo VTP do switch - servidor, cliente ou transparente. Neste caso, precisamos do modo servidor, e após inserir o comando vtp mode server, o sistema exibe uma mensagem informando que o dispositivo já está no modo servidor. A seguir, devemos configurar um domínio VTP, para o qual usamos o comando vtp domain nwking.org. Por que isso é necessário? Se houver outro dispositivo na rede com um número de revisão mais alto, todos os outros dispositivos com um número de revisão mais baixo começarão a replicar o banco de dados de VLAN desse dispositivo. No entanto, isso só acontece se os dispositivos tiverem o mesmo nome de domínio. Por exemplo, se você trabalha em nwking.org, indique este domínio, se for Cisco, então o domínio cisco.com e assim por diante. O nome de domínio dos dispositivos da sua empresa permite distingui-los dos dispositivos de outra empresa ou de quaisquer outros dispositivos externos na rede. Ao atribuir o nome de domínio de uma empresa a um dispositivo, você o torna parte da rede dessa empresa.
A próxima coisa a fazer é definir a senha do VTP. É necessário para que um hacker, tendo um dispositivo com um número de revisão alto, não possa copiar suas configurações de VTP para o seu switch. Eu insiro a senha cisco usando o comando vtp password cisco. Depois disso, a replicação dos dados VTP entre switches só será possível se as senhas corresponderem. Se a senha errada for usada, o banco de dados VLAN não será atualizado.
Vamos tentar criar mais algumas VLANs. Para fazer isso, eu uso o comando config t, uso o comando vlan 200 para criar uma rede número 200, dou a ela o nome TEST e salvo as alterações com o comando exit. Então eu crio outra vlan 500 e a chamo de TEST1. Se você inserir agora o comando show vlan, na tabela de redes virtuais do switch você poderá ver essas duas novas redes, às quais nenhuma porta está atribuída.
Vamos passar para SW1 e ver seu status de VTP. Vemos que nada mudou aqui exceto o nome de domínio, o número de VLANs permanece igual a 7. Não vemos as redes que criamos aparecerem porque a senha do VTP não corresponde. Vamos definir a senha VTP neste switch digitando sequencialmente os comandos conf t, vtp pass e vtp password Cisco. O sistema relatou que o banco de dados VLAN do dispositivo agora usa a senha Cisco. Vamos dar uma olhada no status do VTP para verificar se as informações foram replicadas. Como você pode ver, o número de VLANs existentes aumentou automaticamente para 9.
Se você olhar o banco de dados VLAN deste switch, verá que as redes VLAN200 e VLAN500 que criamos apareceram automaticamente nele.
O mesmo precisa ser feito com a última chave SW2. Vamos inserir o comando show vlan - você pode ver que nenhuma alteração ocorreu nele. Da mesma forma, não há alteração no status do VTP. Para que este switch atualize as informações, também é necessário configurar uma senha, ou seja, inserir os mesmos comandos do SW1. Depois disso, o número de VLANs no status SW2 aumentará para 9.
É para isso que serve o VTP. Isso é ótimo, pois atualiza automaticamente as informações em todos os dispositivos de rede do cliente após alterações serem feitas no dispositivo do servidor. Você não precisa fazer alterações manualmente no banco de dados de VLAN de todos os switches - a replicação ocorre automaticamente. Se você tiver 200 dispositivos de rede, as alterações feitas serão salvas em todos os duzentos dispositivos ao mesmo tempo. Por precaução, precisamos ter certeza de que SW2 também é um cliente VTP, então vamos entrar nas configurações com o comando config t e inserir o comando vtp mode client.
Assim, em nossa rede apenas o primeiro switch está em modo VTP Server, os outros dois operam em modo VTP Client. Se eu entrar agora nas configurações do SW2 e inserir o comando vlan 1000, receberei a mensagem: “a configuração de VTP VLAN não é permitida quando o dispositivo está no modo cliente”. Portanto, não posso fazer alterações no banco de dados VLAN se o switch estiver no modo cliente VTP. Se eu quiser fazer alguma alteração, preciso ir para o servidor switch.
Vou até as configurações do terminal SW0 e digito os comandos vlan 999, nomeio IMRAN e saio. Essa nova rede apareceu no banco de dados de VLAN deste switch, e se eu for agora ao banco de dados do switch cliente SW2, verei que a mesma informação apareceu aqui, ou seja, ocorreu replicação.
Como eu disse, o VTP é um ótimo software, mas se usado incorretamente pode atrapalhar uma rede inteira. Portanto, você precisa ter muito cuidado ao manusear a rede da empresa caso o nome de domínio e a senha do VTP não estejam definidos. Nesse caso, tudo o que o hacker precisa fazer é conectar o cabo do seu switch em uma tomada de rede na parede, conectar-se a qualquer switch do escritório usando o protocolo DTP e então, usando o tronco criado, atualizar todas as informações usando o protocolo VTP . Dessa forma, um hacker pode excluir todas as VLANs importantes, aproveitando o fato de que o número de revisão do seu dispositivo é maior que o número de revisão de outros switches. Nesse caso, os switches da empresa substituirão automaticamente todas as informações do banco de dados VLAN por informações replicadas do switch malicioso e toda a sua rede entrará em colapso.
Isso se deve ao fato de os computadores serem conectados por meio de um cabo de rede a uma porta de switch específica à qual a VLAN 10 ou VLAN20 está atribuída. Se essas redes forem excluídas do banco de dados LAN do switch, a porta pertencente à rede inexistente será automaticamente desabilitada. Normalmente, a rede de uma empresa pode entrar em colapso precisamente porque os switches simplesmente desativam as portas associadas às VLANs que foram removidas durante a próxima atualização.
Para evitar que tal problema ocorra, você precisa definir um nome de domínio e senha VTP ou usar o recurso Cisco Port Security, que permite gerenciar os endereços MAC das portas do switch, introduzindo diversas restrições ao seu uso. Por exemplo, se alguém tentar alterar o endereço MAC, a porta será imediatamente inativa. Analisaremos mais de perto esse recurso dos switches Cisco em breve, mas por enquanto tudo o que você precisa saber é que o Port Security permite garantir que o VTP esteja protegido contra um invasor.
Vamos resumir o que é uma configuração VTP. Esta é a escolha da versão do protocolo - 1 ou 2, a atribuição do modo VTP - servidor, cliente ou transparente. Como já disse, o último modo não atualiza o banco de dados de VLAN do próprio dispositivo, mas simplesmente transmite todas as alterações para os dispositivos vizinhos. A seguir estão os comandos para atribuir um nome de domínio e senha: domínio vtp <nome de domínio> e senha vtp <senha>.
Agora vamos falar sobre as configurações de VTP Pruning. Se você observar a topologia da rede, verá que todos os três switches têm o mesmo banco de dados de VLAN, o que significa que VLAN10 e VLAN20 fazem parte de todos os três switches. Tecnicamente, o switch SW3 não necessita de VLAN2 porque não possui portas pertencentes a esta rede. Porém, independentemente disso, todo o tráfego enviado do computador Laptop20 através da rede VLAN0 chega ao switch SW20 e dele passa pelo tronco até as portas SW1. Sua principal tarefa como especialista em redes é garantir que o mínimo possível de dados desnecessários sejam transmitidos pela rede. Você deve garantir que os dados necessários sejam transmitidos, mas como limitar a transmissão de informações que não são necessárias ao dispositivo?
Você deve garantir que o tráfego destinado aos dispositivos na VLAN20 não flua para as portas SW2 através do tronco quando não for necessário. Ou seja, o tráfego do Laptop0 deve chegar ao SW1 e depois aos computadores na VLAN20, mas não deve ultrapassar a porta de tronco direita do SW1. Isso pode ser conseguido usando a poda VTP.
Para isso precisamos ir nas configurações do servidor VTP SW0, pois como já falei as configurações de VTP só podem ser feitas através do servidor, ir nas configurações globais e digitar o comando vtp pruning. Como o Packet Tracer é apenas um programa de simulação, não existe tal comando em seus prompts de linha de comando. No entanto, quando digito vtp pruning e pressiono Enter, o sistema informa que o modo vtp pruning não está disponível.
Usando o comando show vtp status, veremos que o modo VTP Pruning está no estado desabilitado, portanto precisamos disponibilizá-lo movendo-o para a posição habilitada. Feito isso, ativamos o modo VTP Pruning em todos os três switches da nossa rede dentro do domínio da rede.
Deixe-me lembrá-lo o que é poda VTP. Quando habilitamos este modo, o servidor do switch SW0 informa ao switch SW2 que apenas a VLAN10 está configurada em suas portas. Depois disso, o switch SW2 informa ao switch SW1 que ele não precisa de nenhum tráfego além do tráfego destinado à VLAN10. Agora, graças ao VTP Pruning, o switch SW1 tem a informação de que não precisa enviar tráfego VLAN20 ao longo do tronco SW1-SW2.
Isso é muito conveniente para você como administrador de rede. Você não precisa inserir comandos manualmente porque o switch é inteligente o suficiente para enviar exatamente o que o dispositivo de rede específico precisa. Se amanhã você colocar outro departamento de marketing no próximo prédio e conectar sua rede VLAN20 ao switch SW2, esse switch informará imediatamente ao switch SW1 que agora possui VLAN10 e VLAN20 e solicitará que ele encaminhe o tráfego para ambas as redes. Essas informações são constantemente atualizadas em todos os dispositivos, tornando a comunicação mais eficiente.
Existe outra maneira de especificar a transmissão do tráfego - usando um comando que permite a transmissão de dados apenas para a VLAN especificada. Vou até as configurações do switch SW1, onde estou interessado na porta Fa0/4, e insiro os comandos int fa0/4 e switchport trunk permitido vlan. Como já sei que o SW2 possui apenas VLAN10, posso dizer ao SW1 para permitir apenas tráfego para essa rede em sua porta de tronco usando o comando permitido vlan. Então programei a porta tronco Fa0/4 para transportar tráfego apenas para VLAN10. Isso significa que esta porta não permitirá mais tráfego da VLAN1, VLAN20 ou de qualquer outra rede diferente da especificada.
Você pode estar se perguntando o que é melhor usar: VTP Pruning ou o comando vlan permitido. A resposta é subjetiva porque em alguns casos faz sentido usar o primeiro método, e em outros faz sentido usar o segundo. Como administrador de rede, cabe a você escolher a melhor solução. Em alguns casos, a decisão de programar uma porta para permitir o tráfego de uma VLAN específica pode ser boa, mas em outros pode ser ruim. No caso da nossa rede, o uso do comando permitido vlan pode ser justificado se não formos alterar a topologia da rede. Mas se posteriormente alguém quiser adicionar um grupo de dispositivos usando VLAN2 ao SW 20, seria mais aconselhável usar o modo VTP Pruning.
Portanto, configurar o VTP Pruning envolve o uso dos seguintes comandos. O comando vtp pruning fornece o uso automático deste modo. Se você deseja configurar a remoção de VTP de uma porta de tronco para permitir que o tráfego de uma VLAN específica passe manualmente, use o comando para selecionar a interface do número da porta de tronco <#>, habilitar o modo de tronco switchport mode trunk e permitir a transmissão de tráfego para uma rede específica usando o comando switchport trunk permitido vlan .
No último comando você pode usar 5 parâmetros. Todos significa que a transmissão de tráfego para todas as VLANs é permitida, nenhuma – a transmissão de tráfego para todas as VLANs é proibida. Se você usar o parâmetro add, poderá adicionar a taxa de transferência de tráfego para outra rede. Por exemplo, permitimos o tráfego VLAN10 e, com o comando add, também podemos permitir a passagem do tráfego VLAN20. O comando remove permite remover uma das redes, por exemplo, se você usar o parâmetro remove 20, apenas o tráfego VLAN10 permanecerá.
Agora vamos dar uma olhada na VLAN nativa. Já dissemos que a VLAN nativa é uma rede virtual para passar tráfego não etiquetado através de uma porta de tronco específica.
Entro nas configurações específicas da porta conforme indicado pelo cabeçalho da linha de comando SW(config-if)# e uso o comando switchport trunk native vlan <network number>, por exemplo VLAN10. Agora todo o tráfego na VLAN10 passará pelo tronco não etiquetado.
Voltemos à topologia de rede lógica na janela do Packet Tracer. Se eu usar o comando switchport trunk native vlan 20 na porta do switch Fa0/4, todo o tráfego na VLAN20 fluirá através do tronco Fa0/4 – SW2 sem marcação. Quando o switch SW2 receber esse tráfego, ele pensará: “este é um tráfego não marcado, o que significa que devo encaminhá-lo para a VLAN nativa”. Para este switch, a VLAN nativa é a rede VLAN1. As redes 1 e 20 não estão conectadas de forma alguma, mas como o modo VLAN nativo é usado, temos a oportunidade de rotear o tráfego da VLAN20 para uma rede completamente diferente. No entanto, este tráfego não será encapsulado e as próprias redes ainda deverão corresponder.
Vejamos isso com um exemplo. Entrarei nas configurações do SW1 e usarei o comando switchport trunk native vlan 10. Agora, qualquer tráfego VLAN10 sairá da porta de tronco sem marcação. Ao atingir a porta tronco SW2, o switch entenderá que deve encaminhá-la para a VLAN1. Como resultado desta decisão, o tráfego não poderá chegar aos computadores PC2, 3 e 4, uma vez que estão conectados às portas de acesso do switch destinadas à VLAN10.
Tecnicamente, isso fará com que o sistema relate que a VLAN nativa da porta Fa0/4, que faz parte da VLAN10, não corresponde à porta Fa0/1, que faz parte da VLAN1. Isso significa que as portas especificadas não poderão operar no modo tronco devido a uma incompatibilidade de VLAN nativa.
Obrigado por ficar com a gente. Gostou dos nossos artigos? Quer ver mais conteúdos interessantes? Apoie-nos fazendo um pedido ou recomendando a amigos, 30% de desconto para usuários do Habr em um análogo exclusivo de servidores básicos, que foi inventado por nós para você: (disponível com RAID1 e RAID10, até 24 núcleos e até 40 GB DDR4).
Dell R730xd 2 vezes mais barato? Só aqui na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US$ 99! Ler sobre
Fonte: habr.com