Hoje veremos o protocolo de entroncamento dinâmico DTP e VTP - protocolo de entroncamento VLAN. Como disse na última lição, seguiremos os tópicos do exame ICND2 na ordem em que estão listados no site da Cisco.
Da última vez, analisamos o ponto 1.1 e hoje veremos o 1.2 - configuração, verificação e solução de problemas de conexões de switch de rede: adição e remoção de VLANs do tronco e protocolos DTP e VTP versões 1 e 2.
Todas as portas do switch prontas para uso são configuradas por padrão para usar o modo Dynamic Auto do protocolo DTP. Isso significa que quando duas portas de switches diferentes são conectadas, um tronco é automaticamente ativado entre elas se uma das portas estiver em modo tronco ou desejável. Se as portas de ambos os switches estiverem no modo Dynamic Auto, o tronco não será formado.
Assim, tudo depende da configuração dos modos de funcionamento de cada um dos 2 interruptores. Para facilitar o entendimento, fiz uma tabela de possíveis combinações de modos DTP de dois switches. Você vê que se ambos os switches usarem Dynamic Auto, eles não formarão um tronco, mas permanecerão no modo Access. Portanto, se você deseja que um tronco seja criado entre dois switches, você deve programar pelo menos um dos switches para o modo Trunk, ou programar a porta do tronco para usar o modo Dinâmico Desejável. Como pode ser visto na tabela, cada uma das portas do switch pode estar em um dos 4 modos: Acesso, Dinâmico Auto, Dinâmico Desejável ou Tronco.
Se ambas as portas estiverem configuradas para Access, os switches conectados usarão o modo Access. Se uma porta estiver configurada para Dynamic Auto e a outra para Access, ambas operarão no modo Access. Se uma porta operar em modo Access e a outra em modo Trunk, não será possível conectar os switches, portanto esta combinação de modos não poderá ser utilizada.
Assim, para que o trunking funcione, é necessário que uma das portas do switch esteja programada para Trunk, e a outra para Trunk, Dynamic Auto ou Dynamic Desirable. Um tronco também é formado se ambas as portas estiverem configuradas como Dinâmico Desejável.
A diferença entre Dynamic Desirable e Dynamic Auto é que no primeiro modo, a própria porta inicia o tronco, enviando quadros DTP para a porta do segundo switch. No segundo modo, a porta do switch espera até que alguém comece a se comunicar com ela e, se as portas de ambos os switches estiverem configuradas para Dynamic Auto, um tronco nunca é formado entre elas. No caso do Dynamic Desirable, a situação é oposta - se ambas as portas estiverem configuradas para este modo, necessariamente será formado um tronco entre elas.
Aconselho você a se lembrar desta tabela, pois ela o ajudará a configurar corretamente os switches conectados entre si. Vejamos esse aspecto no programa Packet Tracer. Conectei 3 switches em série e agora exibirei as janelas do console CLI para cada um desses dispositivos na tela.
Se eu inserir o comando show int trunk, não veremos nenhum tronco, o que é completamente natural na ausência das configurações necessárias, já que todos os switches estão configurados para o modo Dynamic Auto. Se eu pedir para mostrar os parâmetros da interface f0/1 do switch intermediário, você verá que no modo de configurações administrativas o parâmetro automático dinâmico está listado.
O terceiro e o primeiro switch têm configurações semelhantes - eles também possuem a porta f0/1 no modo automático dinâmico. Se você se lembra da tabela, para entroncamento todas as portas devem estar no modo tronco ou uma das portas deve estar no modo Dinâmico Desejável.
Vamos entrar nas configurações do primeiro switch SW0 e configurar a porta f0/1. Após inserir o comando switchport mode, o sistema solicitará possíveis parâmetros de modo: acesso, dinâmico ou tronco. Eu uso o comando switchport mode dynamic desejável, e você pode notar como a porta tronco f0/1 do segundo switch, após inserir este comando, primeiro entrou no estado inativo e, depois de receber o quadro DTP do primeiro switch, foi para o estado ascendente.
Se agora inserirmos o comando show int trunk no console CLI do switch SW1, veremos que a porta f0/1 está no estado de trunking. Eu insiro o mesmo comando no console do switch SW1 e vejo a mesma informação, ou seja, agora está instalado um tronco entre os switches SW0 e SW1. Nesse caso, a porta do primeiro switch está no modo desejável e a porta do segundo está no modo automático.
Não há conexão entre o segundo e o terceiro switch, então vou para as configurações do terceiro switch e insiro o comando switchport mode dynamic desejável. Você vê que no segundo switch ocorreram as mesmas mudanças de estado down-up, só que agora elas tocam a porta f0/2, à qual o switch 3 está conectado. Agora o segundo switch possui dois troncos: um na interface f0/1, o segundo na interface f0/2. Isso pode ser visto se você usar o comando show int trunk.
Ambas as portas do segundo switch estão no estado automático, ou seja, para entroncamento com switches vizinhos, suas portas devem estar em modo tronco ou desejável, pois neste caso existem apenas 2 modos de estabelecimento de tronco. Usando a tabela, você sempre pode configurar as portas do switch de forma a organizar um tronco entre elas. Esta é a essência do uso do protocolo de entroncamento dinâmico DTP.
Vamos começar examinando o protocolo de entroncamento VLAN, ou VTP. Este protocolo garante a sincronização dos bancos de dados VLAN dos diferentes dispositivos de rede, realizando a transferência do banco de dados VLAN atualizado de um dispositivo para outro. Voltemos ao nosso circuito de 3 interruptores. O VTP pode operar em 3 modos: servidor, cliente e transparente. O VTP v3 tem outro modo chamado Off, mas o exame Cisco cobre apenas as versões XNUMX e XNUMX do VTP.
O modo servidor é usado para criar novas VLANs, excluir ou alterar redes por meio da linha de comando do switch. No modo cliente, nenhuma operação pode ser executada em VLANs; neste modo, apenas o banco de dados de VLAN é atualizado a partir do servidor. O modo transparente atua como se o protocolo VTP estivesse desabilitado, ou seja, o switch não emite suas próprias mensagens VTP, mas transmite atualizações de outros switches - se uma atualização chegar em uma das portas do switch, ele passa por si mesmo e envia -lo ainda mais na rede através de outra porta. No modo transparente, o switch serve simplesmente como transmissor de mensagens de outras pessoas sem atualizar seu próprio banco de dados de VLAN.
Neste slide você vê os comandos de configuração do protocolo VTP inseridos no modo de configuração global. O primeiro comando pode alterar a versão do protocolo utilizado. O segundo comando seleciona o modo de operação do VTP.
Se você deseja criar um domínio VTP, use o comando vtp domain <domain name> e, para definir a senha VTP, você precisa inserir o comando vtp password <PASSWORD>. Vamos para o console CLI do primeiro switch e examinar o status do VTP inserindo o comando show vtp status.
Você vê que a versão do protocolo VTP é a segunda, o número máximo de VLANs suportadas é 255, o número de VLANs existentes é 5 e o modo operacional da VLAN é servidor. Todas essas são configurações padrão. Já discutimos o VTP na lição do dia 30, então se você esqueceu alguma coisa, pode voltar e assistir este vídeo novamente.
Para ver o banco de dados VLAN, emito o comando show vlan brief. VLAN1 e VLAN1002-1005 são mostradas aqui. Por padrão, todas as interfaces livres do switch estão conectadas à primeira rede - 23 portas Fast Ethernet e 2 portas Gigabit Ethernet, as 4 VLANs restantes não são suportadas. Os bancos de dados de VLAN dos outros dois switches parecem exatamente iguais, exceto que SW1 não possui 23, mas 22 portas Fast Ethernet livres para VLANs, já que f0/1 e f0/2 são ocupadas por troncos. Deixe-me lembrá-lo mais uma vez do que foi discutido na lição “Dia 30” - o protocolo VTP suporta apenas atualização de bancos de dados VLAN.
Se eu configurar várias portas para usar VLANs com os comandos switchport access e switchport mode access VLAN10, VLAN20 ou VLAN30, a configuração dessas portas não será replicada pelo VTP porque o VTP atualiza apenas o banco de dados VLAN.
Portanto, se uma das portas SW1 estiver configurada para funcionar com VLAN20, mas esta rede não estiver no banco de dados de VLAN, a porta será desabilitada. Por sua vez, as atualizações do banco de dados ocorrem apenas quando se utiliza o protocolo VTP.
Usando o comando show vtp status, vejo que todos os três switches estão agora no modo servidor. Vou mudar o switch do meio SW3 para o modo transparente com o comando vtp mode transparente, e o terceiro switch SW1 para o modo cliente com o comando vtp mode client.
Agora vamos voltar ao primeiro switch SW0 e criar o domínio nwking.org usando o comando vtp domain <domain name>. Se você observar agora o estado VTP do segundo switch, que está em modo transparente, poderá ver que ele não reagiu de forma alguma à criação do domínio - o campo Nome de Domínio VTP permaneceu vazio. Porém, o terceiro switch, que está em modo cliente, atualizou seu banco de dados e agora possui o nome de domínio VTP-nwking.org. Assim, a atualização do banco de dados da chave SW0 passou pelo SW1 e foi refletida no SW2.
Agora tentarei alterar o nome de domínio especificado, para o qual irei para as configurações SW0 e digitarei o comando vtp domain NetworKing. Como você pode ver, desta vez não houve atualização - o nome de domínio VTP no terceiro switch permaneceu o mesmo. O fato é que tal atualização de nome de domínio ocorre apenas uma vez, quando o domínio padrão muda. Se depois disso o nome de domínio VTP mudar novamente, ele precisará ser alterado manualmente nos switches restantes.
Agora criarei uma nova rede VLAN100 no console CLI do primeiro switch e a chamarei de IMRAN. Apareceu no banco de dados de VLAN do primeiro switch, mas não apareceu no banco de dados do terceiro switch, pois são domínios diferentes. Lembre-se de que a atualização do banco de dados de VLAN só acontece se ambos os switches tiverem o mesmo domínio ou, como mostrei anteriormente, um novo nome de domínio for definido em vez do nome padrão.
Eu entro nas configurações de 3 switches e insiro sequencialmente os comandos vtp mode e vtp domain NetworKing. Observe que a entrada do nome diferencia maiúsculas de minúsculas; portanto, a grafia do nome de domínio deve ser exatamente a mesma para ambos os switches. Agora coloquei o SW2 de volta no modo cliente usando o comando vtp mode client. Vamos ver o que acontece. Como você pode ver, agora, se o nome de domínio corresponder, o banco de dados SW2 foi atualizado e uma nova rede VLAN100 IMRAN apareceu nele, e essas alterações não têm efeito no switch médio, pois ele está em modo transparente.
Se quiser se proteger contra acesso não autorizado, você pode criar uma senha VTP. Porém, você deve ter certeza de que o dispositivo do outro lado terá exatamente a mesma senha, pois somente neste caso ele poderá aceitar atualizações VTP.
A próxima coisa que veremos é a remoção de VTP, ou “remoção” de VLANs não utilizadas. Se você tiver 100 dispositivos em sua rede que usam VTP, a atualização do banco de dados de VLAN em um dispositivo será replicada automaticamente para os outros 99 dispositivos. No entanto, nem todos esses dispositivos possuem as VLANs mencionadas na atualização, portanto, informações sobre eles podem não ser necessárias.
Enviar atualizações de banco de dados de VLAN para dispositivos usando VTP significa que todas as portas em todos os dispositivos receberão informações sobre VLANs adicionadas, removidas e alteradas com as quais eles podem não ter nada a ver. Ao mesmo tempo, a rede fica obstruída com excesso de tráfego. Para evitar que isso aconteça, é utilizado o conceito de corte VTP. Para habilitar o modo “pruning” de VLANs irrelevantes no switch, use o comando vtp pruning. Os switches informarão automaticamente uns aos outros quais VLANs estão realmente usando, alertando assim os vizinhos de que não precisam enviar atualizações para redes que não estão conectadas a eles.
Por exemplo, se o SW2 não tiver nenhuma porta VLAN10, ele não precisará do SW1 para enviar tráfego para essa rede. Ao mesmo tempo, o switch SW1 necessita de tráfego VLAN10 porque uma de suas portas está conectada a esta rede, apenas não precisa enviar esse tráfego para o switch SW2.
Portanto, se o SW2 estiver usando o modo de remoção vtp, ele informará ao SW1: “por favor, não me envie tráfego para VLAN10 porque esta rede não está conectada a mim e nenhuma das minhas portas está configurada para funcionar com esta rede”. Isso é o que o comando de poda vtp faz.
Existe outra maneira de filtrar o tráfego para uma interface específica. Permite configurar uma porta em um tronco com uma VLAN específica. A desvantagem deste método é a necessidade de configurar manualmente cada porta de tronco, onde será necessário especificar quais VLANs são permitidas e quais são proibidas. Para isso, é utilizada uma sequência de 3 comandos. O primeiro indica a interface afetada por essas restrições, o segundo transforma essa interface em uma porta de tronco e o terceiro - switchport trunk permitido vlan < all/none/add/remove/VLAN number> - mostra qual VLAN é permitida nesta porta: todos, nenhum, VLAN a ser adicionada ou VLAN a ser excluída.
Dependendo da situação específica, você escolhe o que usar: poda VTP ou tronco permitido. Algumas organizações preferem não usar o VTP por motivos de segurança, por isso optam por configurar o entroncamento manualmente. Como o comando de poda vtp não funciona no Packet Tracer, vou mostrá-lo no emulador GNS3.
Se você entrar nas configurações do SW2 e inserir o comando vtp pruning, o sistema informará imediatamente que este modo está habilitado: Pruning ativado, ou seja, a “remoção” da VLAN é ativada com apenas um comando.
Se digitarmos o comando show vtp status, veremos que o modo de poda vtp está habilitado.
Se você estiver configurando este modo em um servidor switch, vá para suas configurações e digite o comando vtp pruning. Isso significa que os dispositivos conectados ao servidor usarão automaticamente a remoção de vtp para minimizar o tráfego de trunking para VLANs irrelevantes.
Se não quiser usar esse modo, você deverá efetuar login em uma interface específica, por exemplo e0/0, e então emitir o comando switchport trunk permitido vlan. O sistema lhe dará dicas sobre possíveis parâmetros para este comando:
— WORD — Número da VLAN que será permitida nesta interface em modo trunk;
— add — VLAN a ser adicionada à lista de banco de dados de VLAN;
— all — permite todas as VLANs;
— exceto — permite todas as VLANs, exceto aquelas especificadas;
— nenhuma — proíbe todas as VLANs;
— remover — remove uma VLAN da lista de banco de dados de VLAN.
Por exemplo, se tivermos um tronco permitido para VLAN10 e quisermos permiti-lo para a rede VLAN20, precisaremos inserir o comando switchport trunk permitido vlan add 20.
Quero mostrar outra coisa, então uso o comando show interface trunk. Observe que, por padrão, todas as VLANs 1-1005 foram permitidas para o tronco e agora a VLAN10 foi adicionada a elas.
Se eu usar o comando switchport trunk permitido vlan add 20 e pedir novamente para mostrar o status do tronco, podemos ver que o tronco agora tem duas redes permitidas - VLAN10 e VLAN20.
Neste caso, nenhum outro tráfego, exceto aquele destinado às redes especificadas, poderá passar por este tronco. Ao permitir o tráfego apenas para a VLAN 10 e a VLAN 20, negamos o tráfego para todas as outras VLANs. Veja como definir manualmente as configurações de entroncamento para uma VLAN específica em uma interface de switch específica.
Observe que até o final do dia 17 de novembro de 2017, temos um desconto de 90% no custo de download de trabalhos laboratoriais sobre este tema em nosso site.
Obrigado pela atenção e até a próxima vídeo aula!
Obrigado por ficar com a gente. Gostou dos nossos artigos? Quer ver mais conteúdos interessantes? Apoie-nos fazendo um pedido ou recomendando a amigos, 30% de desconto para usuários do Habr em um análogo exclusivo de servidores básicos, que foi inventado por nós para você: (disponível com RAID1 e RAID10, até 24 núcleos e até 40 GB DDR4).
Dell R730xd 2 vezes mais barato? Só aqui na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US$ 99! Ler sobre
Fonte: habr.com