Astăzi vom continua discuția despre VLAN-uri și vom discuta despre protocolul VTP, precum și despre conceptele de tăiere VTP și VLAN nativ. Am vorbit deja despre VTP într-unul dintre videoclipurile anterioare și primul lucru care ar trebui să vă vină în minte când auziți despre VTP este că nu este un protocol de trunchiere, în ciuda faptului că este numit „protocol de trunchiere VLAN”.
După cum știți, există două protocoale de trunking populare - protocolul proprietar Cisco ISL, care nu este utilizat în prezent, și protocolul 802.q, care este utilizat în dispozitivele de rețea de la diverși producători pentru a încapsula traficul trunking. Acest protocol este folosit și în comutatoarele Cisco. Am spus deja că VTP este un protocol de sincronizare VLAN, adică este conceput pentru a sincroniza baza de date VLAN pe toate comutatoarele de rețea.
Am menționat diferite moduri VTP - server, client, transparent. Dacă dispozitivul folosește modul server, acest lucru vă permite să faceți modificări, să adăugați sau să eliminați VLAN-uri. Modul client nu vă permite să faceți modificări la setările comutatorului, puteți configura baza de date VLAN doar prin serverul VTP și va fi replicată pe toți clienții VTP. Un comutator în modul transparent nu face modificări propriei baze de date VLAN, ci pur și simplu trece prin el însuși și transferă modificările pe următorul dispozitiv în modul client. Acest mod este similar cu dezactivarea VTP pe un anumit dispozitiv, transformându-l într-un transportator de informații despre modificarea VLAN.
Să revenim la programul Packet Tracer și la topologia rețelei discutată în lecția anterioară. Am configurat o rețea VLAN10 pentru departamentul de vânzări și o rețea VLAN20 pentru departamentul de marketing, combinându-le cu trei switch-uri.
Între switch-urile SW0 și SW1 comunicarea se realizează prin rețeaua VLAN20, iar între SW0 și SW2 există comunicare prin rețeaua VLAN10 datorită faptului că am adăugat VLAN10 la baza de date VLAN a switch-ului SW1.
Pentru a lua în considerare funcționarea protocolului VTP, să folosim unul dintre comutatoare ca server VTP, să fie SW0. Dacă vă amintiți, în mod implicit toate comutatoarele funcționează în modul server VTP. Să mergem la terminalul de linie de comandă al comutatorului și să introducem comanda show vtp status. Veți vedea că versiunea actuală a protocolului VTP este 2 și numărul de revizuire a configurației este 4. Dacă vă amintiți, de fiecare dată când se fac modificări în baza de date VTP, numărul de revizuire crește cu unu.
Numărul maxim de VLAN-uri acceptate este de 255. Acest număr depinde de marca switch-ului Cisco specific, deoarece diferitele switch-uri pot accepta un număr diferit de rețele virtuale locale. Numărul de VLAN-uri existente este de 7, într-un minut ne vom uita la ce sunt aceste rețele. Modul de control VTP este server, numele domeniului nu este setat, modul VTP Pruning este dezactivat, vom reveni la asta mai târziu. Modurile VTP V2 și VTP Traps Generation sunt, de asemenea, dezactivate. Nu trebuie să știți despre ultimele două moduri pentru a trece examenul 200-125 CCNA, așa că nu vă faceți griji pentru ele.
Să aruncăm o privire la baza de date VLAN folosind comanda show vlan. După cum am văzut deja în videoclipul anterior, avem 4 rețele neacceptate: 1002, 1003, 1004 și 1005.
De asemenea, listează cele 2 rețele pe care le-am creat, VLAN10 și 20, și rețeaua implicită, VLAN1. Acum să trecem la alt comutator și să introducem aceeași comandă pentru a vedea starea VTP. Vedeți că numărul de revizuire al acestui comutator este 3, este în modul server VTP și toate celelalte informații sunt similare cu primul comutator. Când intru în comanda show VLAN, văd că am făcut 2 modificări la setări, una mai puțin decât comutatorul SW0, motiv pentru care numărul de revizuire al SW1 este 3. Am făcut 3 modificări la setările implicite ale primului comutator, prin urmare numărul său de revizuire a crescut la 4.
Acum să ne uităm la starea SW2. Numărul de revizuire aici este 1, ceea ce este ciudat. Trebuie să avem o a doua revizuire deoarece a fost făcută 1 modificare a setărilor. Să ne uităm la baza de date VLAN.
Am făcut o schimbare, creând VLAN10 și nu știu de ce aceste informații nu au fost actualizate. Poate că acest lucru s-a întâmplat pentru că nu avem o rețea reală, ci un simulator de rețea software, care poate avea erori. Atunci când aveți ocazia să lucrați cu dispozitive reale în timpul internării la Cisco, vă va ajuta mai mult decât simulatorul Packet Tracer. Un alt lucru util în absența dispozitivelor reale ar fi GNC3, sau un simulator grafic de rețea Cisco. Acesta este un emulator care utilizează sistemul de operare real al unui dispozitiv, cum ar fi un router. Există o diferență între un simulator și un emulator - primul este un program care arată ca un router real, dar nu este unul. Software-ul emulator creează numai dispozitivul în sine, dar folosește software real pentru a-l opera. Dar dacă nu aveți capacitatea de a rula software-ul Cisco IOS real, Packet Tracer este cea mai bună opțiune.
Deci, trebuie să configuram SW0 ca server VTP, pentru aceasta intru în modul de configurare a setărilor globale și intru comanda vtp versiunea 2. După cum am spus, putem instala versiunea de protocol de care avem nevoie - 1 sau 2, în acest în cazul în care avem nevoie de o a doua versiune. Apoi, folosind comanda vtp mode, setăm modul VTP al comutatorului - server, client sau transparent. În acest caz, avem nevoie de modul server, iar după introducerea comenzii server vtp mode, sistemul afișează un mesaj că dispozitivul este deja în modul server. În continuare, trebuie să configuram un domeniu VTP, pentru care folosim comanda vtp domain nwking.org. De ce este necesar acest lucru? Dacă există un alt dispozitiv în rețea cu un număr de revizuire mai mare, toate celelalte dispozitive cu un număr de revizuire mai mic încep să reproducă baza de date VLAN de pe acel dispozitiv. Cu toate acestea, acest lucru se întâmplă numai dacă dispozitivele au același nume de domeniu. De exemplu, dacă lucrați la nwking.org, indicați acest domeniu, dacă la Cisco, atunci domeniul cisco.com și așa mai departe. Numele de domeniu al dispozitivelor companiei dvs. vă permite să le distingeți de dispozitivele de la o altă companie sau de orice alte dispozitive externe din rețea. Când atribuiți un nume de domeniu al unei companii unui dispozitiv, îl faceți parte din rețeaua acelei companii.
Următorul lucru de făcut este să setați parola VTP. Este necesar pentru ca un hacker, având un dispozitiv cu un număr mare de revizuire, să nu-și copieze setările VTP pe comutatorul tău. Introdu parola cisco folosind comanda vtp password cisco. După aceasta, replicarea datelor VTP între comutatoare va fi posibilă numai dacă parolele se potrivesc. Dacă se utilizează o parolă greșită, baza de date VLAN nu va fi actualizată.
Să încercăm să creăm mai multe VLAN-uri. Pentru a face acest lucru, folosesc comanda config t, folosesc comanda vlan 200 pentru a crea un număr de rețea 200, îi dau numele TEST și salvează modificările cu comanda de ieșire. Apoi creez un alt vlan 500 și îl numesc TEST1. Dacă introduceți acum comanda show vlan, atunci în tabelul rețelelor virtuale ale comutatorului puteți vedea aceste două rețele noi, cărora nu le este atribuit niciun port.
Să trecem la SW1 și să vedem starea lui VTP. Vedem că aici nu s-a schimbat nimic în afară de numele domeniului, numărul de VLAN-uri rămâne egal cu 7. Nu vedem rețelele pe care le-am creat pentru că parola VTP nu se potrivește. Să setăm parola VTP pe acest comutator introducând secvențial comenzile conf t, vtp pass și vtp password Cisco. Sistemul a raportat că baza de date VLAN a dispozitivului utilizează acum parola Cisco. Să aruncăm o altă privire la starea VTP pentru a verifica dacă informațiile au fost replicate. După cum puteți vedea, numărul de VLAN-uri existente a crescut automat la 9.
Dacă te uiți la baza de date VLAN a acestui switch, poți vedea că rețelele VLAN200 și VLAN500 pe care le-am creat au apărut automat în ea.
Același lucru trebuie făcut cu ultimul comutator SW2. Să introducem comanda show vlan - puteți vedea că nu au avut loc modificări în ea. De asemenea, nu există nicio schimbare în starea VTP. Pentru ca acest comutator să actualizeze informațiile, trebuie să configurați și o parolă, adică să introduceți aceleași comenzi ca pentru SW1. După aceasta, numărul de VLAN-uri în starea SW2 va crește la 9.
Pentru asta este VTP. Acesta este un lucru grozav care actualizează automat informațiile din toate dispozitivele de rețea client după ce se fac modificări la dispozitivul server. Nu trebuie să faceți manual modificări în baza de date VLAN a tuturor comutatoarelor - replicarea are loc automat. Dacă aveți 200 de dispozitive de rețea, modificările pe care le faceți vor fi salvate pe toate cele două sute de dispozitive în același timp. Pentru orice eventualitate, trebuie să ne asigurăm că SW2 este și un client VTP, așa că haideți să intrăm în setări cu comanda config t și să introducem comanda client mod vtp.
Astfel, în rețeaua noastră doar primul comutator este în modul VTP Server, celelalte două funcționează în modul VTP Client. Dacă intru acum în setările SW2 și intru comanda vlan 1000, voi primi mesajul: „configurarea VTP VLAN nu este permisă când dispozitivul este în modul client”. Astfel, nu pot face nicio modificare în baza de date VLAN dacă comutatorul este în modul client VTP. Dacă vreau să fac modificări, trebuie să merg la serverul de comutare.
Intru in setarile terminalului SW0 si intru comenzile vlan 999, numesc IMRAN si ies. Această nouă rețea a apărut în baza de date VLAN a acestui switch, iar dacă acum merg la baza de date a switch-ului client SW2, voi vedea că aici au apărut aceleași informații, adică a avut loc replicarea.
După cum am spus, VTP este un program grozav, dar dacă este utilizat incorect, poate perturba o întreagă rețea. Prin urmare, trebuie să fiți foarte atenți când manipulați rețeaua companiei dacă numele de domeniu și parola VTP nu sunt setate. În acest caz, tot ce trebuie să facă hackerul este să conecteze cablul comutatorului său la o priză de rețea de pe perete, să se conecteze la orice comutator de birou folosind protocolul DTP și apoi, folosind trunchiul creat, să actualizeze toate informațiile folosind protocolul VTP. . În acest fel, un hacker poate șterge toate VLAN-urile importante, profitând de faptul că numărul de revizii al dispozitivului său este mai mare decât numărul de revizii al altor switch-uri. În acest caz, comutatoarele companiei vor înlocui automat toate informațiile bazei de date VLAN cu informații replicate de la comutatorul rău intenționat și întreaga rețea se va prăbuși.
Acest lucru se datorează faptului că computerele sunt conectate folosind un cablu de rețea la un anumit port de comutare căruia i-a fost atribuit VLAN 10 sau VLAN20. Dacă aceste rețele sunt șterse din baza de date LAN a switch-ului, acesta va dezactiva automat portul care aparține rețelei inexistente. De obicei, rețeaua unei companii se poate prăbuși tocmai pentru că comutatoarele pur și simplu dezactivează porturile asociate cu VLAN-urile care au fost eliminate în timpul următoarei actualizări.
Pentru a preveni apariția unei astfel de probleme, trebuie să setați un nume de domeniu VTP și o parolă sau să utilizați caracteristica Cisco Port Security, care vă permite să gestionați adresele MAC ale porturilor switch-ului, introducând diverse restricții privind utilizarea acestora. De exemplu, dacă altcineva încearcă să schimbe adresa MAC, portul se va opri imediat. Vom arunca o privire mai atentă asupra acestei caracteristici a switch-urilor Cisco foarte curând, dar deocamdată tot ce trebuie să știți este că Port Security vă permite să vă asigurați că VTP este protejat de un atacator.
Să rezumăm ce este o setare VTP. Aceasta este alegerea versiunii de protocol - 1 sau 2, alocarea modului VTP - server, client sau transparent. După cum am spus deja, acest din urmă mod nu actualizează baza de date VLAN a dispozitivului în sine, ci pur și simplu transmite toate modificările către dispozitivele învecinate. Următoarele sunt comenzile pentru atribuirea unui nume de domeniu și a unei parole: vtp domain <domain name> și vtp password <parolă>.
Acum să vorbim despre setările de tăiere VTP. Dacă te uiți la topologia rețelei, poți vedea că toate cele trei switch-uri au aceeași bază de date VLAN, ceea ce înseamnă că VLAN10 și VLAN20 fac parte din toate cele 3 switch-uri. Din punct de vedere tehnic, comutatorul SW2 nu are nevoie de VLAN20 deoarece nu are porturi care aparțin acestei rețele. Totuși, indiferent de acest lucru, tot traficul trimis de pe computerul Laptop0 prin rețeaua VLAN20 ajunge la comutatorul SW1 și de la acesta trece prin trunchi către porturile SW2. Sarcina dvs. principală ca specialist în rețea este să vă asigurați că prin rețea sunt transmise cât mai puține date inutile. Trebuie să vă asigurați că datele necesare sunt transmise, dar cum puteți limita transmiterea de informații care nu sunt necesare dispozitivului?
Trebuie să vă asigurați că traficul destinat dispozitivelor de pe VLAN20 nu circulă către porturile SW2 prin trunchi atunci când nu este necesar. Adică, traficul Laptop0 ar trebui să ajungă la SW1 și apoi la computerele de pe VLAN20, dar nu ar trebui să depășească portul trunchiului drept al SW1. Acest lucru poate fi realizat folosind VTP Pruning.
Pentru a face acest lucru, trebuie să mergem la setările serverului VTP SW0, deoarece, așa cum am spus deja, setările VTP pot fi făcute numai prin server, mergeți la setările de configurare globală și tastați comanda vtp pruning. Deoarece Packet Tracer este doar un program de simulare, nu există o astfel de comandă în prompturile sale de linie de comandă. Cu toate acestea, când tast vtp pruning și apăs pe Enter, sistemul îmi spune că modul vtp pruning nu este disponibil.
Folosind comanda show vtp status, vom vedea că modul VTP Pruning este în starea dezactivată, așa că trebuie să-l facem disponibil mutându-l în poziția de activare. După ce am făcut acest lucru, activăm modul VTP Pruning pe toate cele trei comutatoare ale rețelei noastre din domeniul rețelei.
Permiteți-mi să vă reamintesc ce este tăierea VTP. Când activăm acest mod, serverul de comutare SW0 informează comutatorul SW2 că doar VLAN10 este configurat pe porturile sale. După aceasta, comutatorul SW2 îi spune comutatorului SW1 că nu are nevoie de niciun alt trafic decât traficul destinat VLAN10. Acum, datorită VTP Pruning, comutatorul SW1 are informațiile că nu trebuie să trimită trafic VLAN20 de-a lungul trunchiului SW1-SW2.
Acest lucru este foarte convenabil pentru tine ca administrator de rețea. Nu trebuie să introduceți manual comenzi, deoarece comutatorul este suficient de inteligent pentru a trimite exact ceea ce are nevoie dispozitivul de rețea specific. Dacă mâine puneți un alt departament de marketing în clădirea următoare și conectați rețeaua sa VLAN20 la comutatorul SW2, acel comutator îi va spune imediat comutatorului SW1 că are acum VLAN10 și VLAN20 și îi va cere să redirecționeze traficul pentru ambele rețele. Aceste informații sunt actualizate în mod constant pe toate dispozitivele, făcând comunicarea mai eficientă.
Există o altă modalitate de a specifica transmiterea traficului - aceasta este utilizarea unei comenzi care permite transmiterea datelor numai pentru VLAN-ul specificat. Mă duc la setările switch-ului SW1, unde sunt interesat de portul Fa0/4, și introdu comenzile int fa0/4 și switchport trunk allowed vlan. Deoarece știu deja că SW2 are doar VLAN10, îi pot spune SW1 să permită numai traficul pentru acea rețea pe portul său trunk folosind comanda vlan permisă. Așa că am programat portul de trunchi Fa0/4 pentru a transporta trafic numai pentru VLAN10. Aceasta înseamnă că acest port nu va permite trafic suplimentar de la VLAN1, VLAN20 sau orice altă rețea decât cea specificată.
S-ar putea să vă întrebați care este mai bine de utilizat: VTP Pruning sau comanda vlan permisă. Răspunsul este subiectiv pentru că în unele cazuri are sens să folosești prima metodă, iar în altele are sens să folosești a doua. În calitate de administrator de rețea, depinde de dvs. să alegeți cea mai bună soluție. În unele cazuri, decizia de a programa un port pentru a permite traficul de la un anumit VLAN poate fi bună, dar în altele poate fi proastă. În cazul rețelei noastre, utilizarea comenzii vlan permise poate fi justificată dacă nu vom schimba topologia rețelei. Dar dacă cineva dorește mai târziu să adauge un grup de dispozitive care utilizează VLAN2 la SW 20, ar fi mai recomandabil să folosească modul VTP Pruning.
Deci, configurarea VTP Pruning implică utilizarea următoarelor comenzi. Comanda vtp pruning oferă utilizarea automată a acestui mod. Dacă doriți să configurați tăierea VTP a unui port trunk pentru a permite traficul unui anumit VLAN să treacă manual, atunci utilizați comanda pentru a selecta interfața numărului port trunk <#>, activați trunchiul modului trunk mode switchport și permiteți transmiterea traficului la o anumită rețea utilizând comanda switchport trunk allowed vlan .
În ultima comandă puteți folosi 5 parametri. Totul înseamnă că transmisia de trafic pentru toate VLAN-urile este permisă, niciuna – transmisia de trafic pentru toate VLAN-urile este interzisă. Dacă utilizați parametrul add, puteți adăuga trafic pentru o altă rețea. De exemplu, permitem traficul VLAN10, iar cu comanda add putem permite și traficul VLAN20 să treacă. Comanda remove vă permite să eliminați una dintre rețele, de exemplu, dacă utilizați parametrul remove 20, va rămâne doar traficul VLAN10.
Acum să ne uităm la VLAN-ul nativ. Am spus deja că VLAN nativ este o rețea virtuală pentru trecerea traficului neetichetat printr-un anumit port trunk.
Intru în setările specifice portului, așa cum este indicat de antetul liniei de comandă SW(config-if)# și folosesc comanda switchport trunk native vlan <network number>, de exemplu VLAN10. Acum tot traficul de pe VLAN10 va trece prin trunchiul neetichetat.
Să revenim la topologia rețelei logică din fereastra Packet Tracer. Dacă folosesc comanda switchport trunk native vlan 20 pe portul comutator Fa0/4, atunci tot traficul de pe VLAN20 va circula prin trunchiul Fa0/4 – SW2 neetichetat. Când comutatorul SW2 primește acest trafic, se va gândi: „acesta este trafic neetichetat, ceea ce înseamnă că ar trebui să îl direcționez către VLAN-ul nativ”. Pentru acest comutator, VLAN-ul nativ este rețeaua VLAN1. Rețelele 1 și 20 nu sunt conectate în niciun fel, dar, deoarece este utilizat modul nativ VLAN, avem posibilitatea de a direcționa traficul VLAN20 către o rețea complet diferită. Cu toate acestea, acest trafic va fi neîncapsulat, iar rețelele în sine trebuie să se potrivească.
Să ne uităm la asta cu un exemplu. Voi intra în setările SW1 și voi folosi comanda switchport trunk native vlan 10. Acum orice trafic VLAN10 va ieși din portul trunk neetichetat. Când ajunge la portul trunk SW2, comutatorul va înțelege că trebuie să îl redirecționeze către VLAN1. Ca urmare a acestei decizii, traficul nu va putea ajunge la computerele PC2, 3 și 4, deoarece acestea sunt conectate la porturile de acces switch destinate VLAN10.
Din punct de vedere tehnic, acest lucru va determina sistemul să raporteze că VLAN-ul nativ al portului Fa0/4, care face parte din VLAN10, nu se potrivește cu portul Fa0/1, care face parte din VLAN1. Aceasta înseamnă că porturile specificate nu vor putea funcționa în modul trunk din cauza unei nepotriviri VLAN native.
Vă mulțumim că ați rămas cu noi. Vă plac articolele noastre? Vrei să vezi mai mult conținut interesant? Susține-ne plasând o comandă sau recomandând prietenilor, Reducere de 30% pentru utilizatorii Habr la un analog unic de servere entry-level, care a fost inventat de noi pentru tine: (disponibil cu RAID1 și RAID10, până la 24 de nuclee și până la 40 GB DDR4).
Dell R730xd de 2 ori mai ieftin? Numai aici in Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - de la 99 USD! Citește despre
Sursa: www.habr.com