Dnes budeme pokračovať v našej diskusii o VLAN a rozoberieme protokol VTP, ako aj koncepty VTP Pruning a Native VLAN. O VTP sme už hovorili v jednom z predchádzajúcich videí a prvá vec, ktorá by vám mala prísť na myseľ, keď počujete o VTP, je, že nejde o trunkový protokol, hoci sa nazýva „VLAN trunking protokol“.
Ako viete, existujú dva populárne trunkingové protokoly – proprietárny Cisco ISL protokol, ktorý sa dnes nepoužíva, a protokol 802.q, ktorý sa používa v sieťových zariadeniach od rôznych výrobcov na zapuzdrenie trunkingovej prevádzky. Tento protokol sa používa aj v prepínačoch Cisco. Už sme povedali, že VTP je synchronizačný protokol VLAN, to znamená, že je určený na synchronizáciu databázy VLAN naprieč všetkými sieťovými prepínačmi.
Spomenuli sme rôzne režimy VTP – server, klient, transparentný. Ak zariadenie používa režim servera, umožňuje vám to vykonávať zmeny, pridávať alebo odstraňovať siete VLAN. Klientsky režim vám neumožňuje vykonávať zmeny v nastaveniach prepínača, databázu VLAN môžete nakonfigurovať iba prostredníctvom servera VTP a bude replikovaná na všetkých klientov VTP. Prepínač v transparentnom režime nevykonáva zmeny vo svojej vlastnej databáze VLAN, ale jednoducho prechádza cez seba a prenáša zmeny na ďalšie zariadenie v režime klienta. Tento režim je podobný vypnutiu VTP na konkrétnom zariadení, čím sa zmení na prenášač informácií o zmene VLAN.
Vráťme sa k programu Packet Tracer a topológii siete diskutovanej v predchádzajúcej lekcii. Nakonfigurovali sme sieť VLAN10 pre obchodné oddelenie a sieť VLAN20 pre marketingové oddelenie, pričom sme ich skombinovali s tromi prepínačmi.
Komunikácia medzi prepínačmi SW0 a SW1 prebieha cez sieť VLAN20 a medzi SW0 a SW2 je komunikácia cez sieť VLAN10 vďaka tomu, že sme pridali VLAN10 do databázy VLAN prepínača SW1.
Aby sme zvážili fungovanie protokolu VTP, použite jeden z prepínačov ako server VTP, nech je to SW0. Ak si pamätáte, všetky prepínače štandardne fungujú v režime servera VTP. Poďme na terminál príkazového riadka prepínača a zadajte príkaz show vtp status. Vidíte, že aktuálna verzia protokolu VTP je 2 a číslo revízie konfigurácie je 4. Ak si pamätáte, pri každej zmene v databáze VTP sa číslo revízie zvýši o jednu.
Maximálny počet podporovaných sietí VLAN je 255. Tento počet závisí od značky konkrétneho prepínača Cisco, pretože rôzne prepínače môžu podporovať rôzne počty lokálnych virtuálnych sietí. Počet existujúcich VLAN je 7, o minútu sa pozrieme, aké sú tieto siete. Režim kontroly VTP je server, názov domény nie je nastavený, režim prerezávania VTP je vypnutý, k tomu sa vrátime neskôr. Režimy generovania VTP V2 a VTP Traps sú tiež vypnuté. Na úspešné absolvovanie skúšky CCNA 200-125 nemusíte vedieť o posledných dvoch režimoch, takže si s nimi nerobte starosti.
Poďme sa pozrieť na databázu VLAN pomocou príkazu show vlan. Ako sme už videli v predchádzajúcom videu, máme 4 nepodporované siete: 1002, 1003, 1004 a 1005.
Uvádza tiež 2 siete, ktoré sme vytvorili, VLAN10 a 20, a predvolenú sieť VLAN1. Teraz prejdeme na iný prepínač a zadaním rovnakého príkazu zobrazíme stav VTP. Vidíte, že číslo revízie tohto prepínača je 3, je v režime servera VTP a všetky ostatné informácie sú podobné prvému prepínaču. Keď zadávam príkaz show VLAN, vidím, že sme urobili 2 zmeny nastavení, o jednu menej ako prepínač SW0, a preto je číslo revízie SW1 3. V prvom nastavení sme urobili 3 zmeny. prepínač, preto sa jeho číslo revízie zvýšilo na 4.
Teraz sa pozrime na stav SW2. Číslo revízie je tu 1, čo je zvláštne. Musíme mať druhú revíziu, pretože bola vykonaná 1 zmena nastavení. Pozrime sa na databázu VLAN.
Urobili sme jednu zmenu, vytvorili sme VLAN10 a neviem, prečo tieto informácie neboli aktualizované. Možno sa to stalo preto, že nemáme skutočnú sieť, ale softvérový sieťový simulátor, ktorý môže mať chyby. Keď máte možnosť pracovať so skutočnými zariadeniami počas stáže v Cisco, pomôže vám to viac ako simulátor Packet Tracer. Ďalšou užitočnou vecou pri absencii skutočných zariadení by bol GNC3 alebo grafický simulátor siete Cisco. Toto je emulátor, ktorý používa skutočný operačný systém zariadenia, ako je napríklad smerovač. Existuje rozdiel medzi simulátorom a emulátorom - prvý je program, ktorý vyzerá ako skutočný router, ale nie je ním. Softvér emulátora vytvára iba samotné zariadenie, ale na jeho ovládanie používa skutočný softvér. Ak však nemáte možnosť spustiť skutočný softvér Cisco IOS, Packet Tracer je vašou najlepšou voľbou.
Potrebujeme teda nakonfigurovať SW0 ako VTP server, preto prejdem do režimu konfigurácie globálnych nastavení a zadám príkaz vtp version 2. Ako som povedal, môžeme nainštalovať verziu protokolu, ktorú potrebujeme - 1 alebo 2, v tomto v prípade, že potrebujeme druhú verziu. Ďalej pomocou príkazu vtp mode nastavíme režim VTP prepínača - server, klient alebo transparent. V tomto prípade potrebujeme serverový režim a po zadaní príkazu servera vtp mode systém zobrazí správu, že zariadenie je už v serverovom režime. Ďalej musíme nakonfigurovať doménu VTP, pre ktorú použijeme príkaz vtp domain nwking.org. Prečo je to potrebné? Ak je v sieti ďalšie zariadenie s vyšším číslom revízie, všetky ostatné zariadenia s nižším číslom revízie začnú replikovať databázu VLAN z tohto zariadenia. Stáva sa to však iba vtedy, ak majú zariadenia rovnaký názov domény. Napríklad, ak pracujete na nwking.org, uvediete túto doménu, ak na Cisco, potom doménu cisco.com atď. Názov domény zariadení vašej spoločnosti vám umožňuje rozlíšiť ich od zariadení inej spoločnosti alebo od akýchkoľvek iných externých zariadení v sieti. Keď zariadeniu priradíte názov domény spoločnosti, stane sa súčasťou siete tejto spoločnosti.
Ďalšia vec, ktorú musíte urobiť, je nastaviť heslo VTP. Je to potrebné, aby hacker, ktorý má zariadenie s vysokým číslom revízie, nemohol skopírovať svoje nastavenia VTP do vášho prepínača. Heslo cisco zadávam pomocou príkazu vtp password cisco. Potom bude replikácia údajov VTP medzi prepínačmi možná iba vtedy, ak sa heslá zhodujú. Ak použijete nesprávne heslo, databáza VLAN sa neaktualizuje.
Skúsme vytvoriť ďalšie VLAN. Na to použijem príkaz config t, pomocou príkazu vlan 200 vytvorím sieťové číslo 200, pomenujem ho TEST a uložím zmeny príkazom exit. Potom vytvorím ďalšiu vlan 500 a nazvem ju TEST1. Ak teraz zadáte príkaz show vlan, tak v tabuľke virtuálnych sietí prepínača vidíte tieto dve nové siete, ku ktorým nie je priradený ani jeden port.
Prejdime na SW1 a pozrime sa na jeho stav VTP. Vidíme, že sa tu okrem názvu domény nič nezmenilo, počet VLAN zostáva rovný 7. Nevidíme, že sa siete, ktoré sme vytvorili, zobrazujú, pretože sa nezhoduje heslo VTP. Nastavme heslo VTP na tomto prepínači postupným zadávaním príkazov conf t, vtp pass a vtp password Cisco. Systém oznámil, že databáza VLAN zariadenia teraz používa heslo Cisco. Pozrime sa ešte raz na stav VTP, aby sme skontrolovali, či boli informácie replikované. Ako vidíte, počet existujúcich VLAN sa automaticky zvýšil na 9.
Ak sa pozriete do databázy VLAN tohto prepínača, môžete vidieť, že sa v nej automaticky objavili nami vytvorené siete VLAN200 a VLAN500.
To isté je potrebné urobiť s posledným spínačom SW2. Zadáme príkaz show vlan - vidíte, že v ňom nenastali žiadne zmeny. Rovnako nedochádza k zmene stavu VTP. Aby tento prepínač aktualizoval informácie, je potrebné nastaviť aj heslo, teda zadať rovnaké príkazy ako pre SW1. Potom sa počet VLAN v stave SW2 zvýši na 9.
Na to slúži VTP. Je to skvelá vec, ktorá automaticky aktualizuje informácie vo všetkých klientskych sieťových zariadeniach po vykonaní zmien na serverovom zariadení. Nemusíte manuálne vykonávať zmeny vo VLAN databáze všetkých prepínačov – replikácia prebieha automaticky. Ak máte 200 sieťových zariadení, vykonané zmeny sa uložia na všetkých dvesto zariadeniach súčasne. Pre každý prípad sa musíme uistiť, že SW2 je tiež klient VTP, takže poďme do nastavení pomocou príkazu config t a zadajte príkaz klienta vtp mode.
V našej sieti je teda iba prvý prepínač v režime VTP Server, ďalšie dva fungujú v režime VTP Klient. Ak teraz prejdem do nastavení SW2 a zadám príkaz vlan 1000, dostanem správu: „Konfigurácia VTP VLAN nie je povolená, keď je zariadenie v režime klienta“. Preto nemôžem vykonať žiadne zmeny v databáze VLAN, ak je prepínač v režime klienta VTP. Ak chcem vykonať nejaké zmeny, musím prejsť na prepínací server.
Idem do nastavení terminálu SW0 a zadávam príkazy vlan 999, meno IMRAN a exit. Táto nová sieť sa objavila v databáze VLAN tohto prepínača a ak teraz prejdem do databázy klientskeho prepínača SW2, uvidím, že sa tu objavila rovnaká informácia, teda došlo k replikácii.
Ako som povedal, VTP je skvelý softvér, ale ak sa používa nesprávne, môže narušiť celú sieť. Preto musíte byť veľmi opatrní pri manipulácii s firemnou sieťou, ak nie je nastavené doménové meno a VTP heslo. V tomto prípade hackerovi stačí zastrčiť kábel svojho switchu do sieťovej zásuvky na stene, pripojiť sa k ľubovoľnému kancelárskemu switchu pomocou DTP protokolu a následne pomocou vytvoreného trunku aktualizovať všetky informácie pomocou VTP protokolu . Hacker tak môže vymazať všetky dôležité siete VLAN, pričom využije skutočnosť, že číslo revízie jeho zariadenia je vyššie ako číslo revízie ostatných prepínačov. V tomto prípade prepínače spoločnosti automaticky nahradia všetky informácie z databázy VLAN informáciami replikovanými zo škodlivého prepínača a celá vaša sieť sa zrúti.
Je to spôsobené tým, že počítače sú pripojené pomocou sieťového kábla ku konkrétnemu portu prepínača, ku ktorému je priradená VLAN 10 alebo VLAN20. Ak sa tieto siete vymažú z databázy LAN prepínača, automaticky sa deaktivuje port patriaci do neexistujúcej siete. Typicky sa firemná sieť môže zrútiť práve preto, že prepínače jednoducho deaktivujú porty spojené s VLAN, ktoré boli odstránené počas ďalšej aktualizácie.
Aby k takémuto problému nedochádzalo, je potrebné nastaviť názov domény a heslo VTP alebo použiť funkciu Cisco Port Security, ktorá vám umožňuje spravovať MAC adresy portov prepínača a zavádza rôzne obmedzenia na ich používanie. Napríklad, ak sa niekto iný pokúsi zmeniť MAC adresu, port okamžite klesne. Čoskoro sa bližšie pozrieme na túto funkciu prepínačov Cisco, ale zatiaľ všetko, čo potrebujete vedieť, je, že Port Security vám umožňuje zabezpečiť, aby bol VTP chránený pred útočníkom.
Zhrňme si, čo je nastavenie VTP. Ide o výber verzie protokolu - 1 alebo 2, priradenie režimu VTP - server, klient alebo transparent. Ako som už povedal, posledný režim neaktualizuje databázu VLAN samotného zariadenia, ale jednoducho prenáša všetky zmeny na susedné zariadenia. Nasledujú príkazy na priradenie názvu domény a hesla: doména vtp <názov domény> a heslo vtp <heslo>.
Teraz si povieme niečo o nastaveniach VTP Pruning. Ak sa pozriete na topológiu siete, môžete vidieť, že všetky tri prepínače majú rovnakú databázu VLAN, čo znamená, že VLAN10 a VLAN20 sú súčasťou všetkých 3 prepínačov. Technicky prepínač SW2 nepotrebuje VLAN20, pretože nemá porty patriace do tejto siete. Bez ohľadu na to však všetka prevádzka odoslaná z počítača Laptop0 cez sieť VLAN20 dosiahne prepínač SW1 a z neho ide cez kmeň do portov SW2. Vašou hlavnou úlohou ako sieťového špecialistu je zabezpečiť, aby sa cez sieť prenášalo čo najmenej zbytočných dát. Musíte zabezpečiť prenos potrebných údajov, ale ako môžete obmedziť prenos informácií, ktoré zariadenie nepotrebuje?
Musíte zabezpečiť, aby prevádzka určená pre zariadenia na VLAN20 nepretekala do portov SW2 cez kmeň, keď to nie je potrebné. To znamená, že prenos z Laptop0 by mal dosiahnuť SW1 a potom do počítačov na VLAN20, ale nemal by presahovať pravý kmeňový port SW1. To sa dá dosiahnuť pomocou VTP Pruning.
Aby sme to dosiahli, musíme prejsť do nastavení servera VTP SW0, pretože ako som už povedal, nastavenia VTP je možné vykonať iba prostredníctvom servera, prejdite na nastavenia globálnej konfigurácie a zadajte príkaz vtp prerezávanie. Keďže Packet Tracer je len simulačný program, v príkazovom riadku sa takýto príkaz nenachádza. Keď však napíšem vtp prerezávanie a stlačím Enter, systém mi oznámi, že režim prerezávania vtp nie je dostupný.
Pomocou príkazu show vtp status uvidíme, že režim VTP Pruning je v zakázanom stave, takže ho musíme sprístupniť presunutím do polohy zapnutia. Po vykonaní tohto kroku aktivujeme režim VTP Pruning na všetkých troch prepínačoch našej siete v rámci sieťovej domény.
Dovoľte mi pripomenúť vám, čo je VTP Pruning. Keď povolíme tento režim, prepínací server SW0 informuje prepínač SW2, že na jeho portoch je nakonfigurovaná iba VLAN10. Potom prepínač SW2 oznámi prepínaču SW1, že nepotrebuje žiadnu inú prevádzku ako prevádzku určenú pre VLAN10. Teraz, vďaka VTP Pruning, má prepínač SW1 informáciu, že nemusí posielať prevádzku VLAN20 pozdĺž kmeňa SW1-SW2.
To je pre vás ako správcu siete veľmi výhodné. Nemusíte manuálne zadávať príkazy, pretože prepínač je dostatočne inteligentný na to, aby odoslal presne to, čo konkrétne sieťové zariadenie potrebuje. Ak zajtra umiestnite ďalšie marketingové oddelenie do vedľajšej budovy a pripojíte jeho sieť VLAN20 k prepínaču SW2, tento prepínač okamžite oznámi prepínaču SW1, že teraz má VLAN10 a VLAN20 a požiada ho o presmerovanie prevádzky pre obe siete. Tieto informácie sa neustále aktualizujú na všetkých zariadeniach, vďaka čomu je komunikácia efektívnejšia.
Existuje aj iný spôsob, ako určiť prenos prevádzky - to je použitie príkazu, ktorý umožňuje prenos dát iba pre zadanú VLAN. Idem do nastavení prepínača SW1, kde ma zaujíma port Fa0/4 a zadávam príkazy int fa0/4 a switchport trunk povolený vlan. Keďže už viem, že SW2 má iba VLAN10, môžem povedať SW1, aby povolil iba prenos pre túto sieť na svojom hlavnom porte pomocou povoleného príkazu vlan. Naprogramoval som teda trunk port Fa0/4, aby prenášal prevádzku len pre VLAN10. To znamená, že tento port nepovolí ďalšiu prevádzku z VLAN1, VLAN20 alebo inej siete, než je špecifikovaná.
Možno sa pýtate, čo je lepšie použiť: VTP Pruning alebo povolený príkaz vlan. Odpoveď je subjektívna, pretože v niektorých prípadoch má zmysel použiť prvú metódu a v iných má zmysel použiť druhú. Ako správca siete je na vás, aby ste si vybrali to najlepšie riešenie. V niektorých prípadoch môže byť rozhodnutie naprogramovať port tak, aby umožňoval prenos z konkrétnej siete VLAN, dobré, ale v iných môže byť zlé. V prípade našej siete môže byť použitie povoleného príkazu vlan opodstatnené, ak sa nechystáme meniť topológiu siete. Ale ak chce niekto neskôr pridať skupinu zariadení pomocou VLAN2 do SW 20, bolo by vhodnejšie použiť režim VTP Pruning.
Nastavenie VTP Pruning teda zahŕňa použitie nasledujúcich príkazov. Príkaz vtp prerezávanie poskytuje automatické použitie tohto režimu. Ak chcete nakonfigurovať VTP Obrezanie kmeňového portu tak, aby prevádzka konkrétnej VLAN prechádzala manuálne, potom použite príkaz na výber rozhrania čísla portu kmeňového vedenia <#>, povoľte kmeňový režim prepínača režimu kmeňového portu a povoľte prenos dát do špecifickej siete pomocou príkazu vlan s povoleným kmeňom prepínača .
V poslednom príkaze môžete použiť 5 parametrov. All znamená, že prenos prevádzky pre všetky siete VLAN je povolený, žiadny – prenos prevádzky pre všetky siete VLAN je zakázaný. Ak použijete parameter add, môžete pridať prenosovú priepustnosť pre inú sieť. Napríklad povolíme premávku VLAN10 a pomocou príkazu add môžeme tiež povoliť premávku VLAN20. Príkaz remove vám umožňuje odstrániť jednu zo sietí, ak napríklad použijete parameter remove 20, zostane iba prevádzka VLAN10.
Teraz sa pozrime na natívnu VLAN. Už sme povedali, že natívna VLAN je virtuálna sieť na prenášanie neoznačenej prevádzky cez špecifický kmeňový port.
Prejdem do konkrétnych nastavení portu, ako je uvedené v hlavičke príkazového riadka SW(config-if)# a použijem príkaz switchport trunk native vlan <číslo siete>, napríklad VLAN10. Teraz bude všetka prevádzka na VLAN10 prechádzať cez neoznačený kmeň.
Vráťme sa k topológii logickej siete v okne Packet Tracer. Ak použijem príkaz kmeňa prepínača natívnej vlan 20 na porte prepínača Fa0/4, potom všetka prevádzka na VLAN20 preteká cez kmeň Fa0/4 – SW2 bez označenia. Keď prepínač SW2 prijme túto prevádzku, bude si myslieť: „toto je neoznačená prevádzka, čo znamená, že by som ju mal nasmerovať do natívnej siete VLAN.“ Pre tento prepínač je natívnou VLAN sieť VLAN1. Siete 1 a 20 nie sú nijako prepojené, ale keďže sa používa natívny režim VLAN, máme možnosť smerovať prevádzku VLAN20 do úplne inej siete. Táto prevádzka však bude nezapuzdrená a samotné siete sa musia stále zhodovať.
Pozrime sa na to na príklade. Pôjdem do nastavení SW1 a použijem príkaz switchport trunk native vlan 10. Teraz bude všetka prevádzka VLAN10 vychádzať z trunk portu neoznačená. Keď prepínač dosiahne kmeňový port SW2, prepínač pochopí, že ho musí poslať do VLAN1. Výsledkom tohto rozhodnutia bude, že prevádzka nebude môcť dosiahnuť počítače PC2, 3 a 4, pretože sú pripojené k portom prepínača určeného pre VLAN10.
Technicky to spôsobí, že systém ohlási, že natívna VLAN portu Fa0/4, ktorý je súčasťou VLAN10, sa nezhoduje s portom Fa0/1, ktorý je súčasťou VLAN1. To znamená, že špecifikované porty nebudú schopné fungovať v režime trunk kvôli natívnemu nesúladu VLAN.
Ďakujeme, že ste zostali s nami. Páčia sa vám naše články? Chcete vidieť viac zaujímavého obsahu? Podporte nás zadaním objednávky alebo odporučením priateľom, 30% zľava pre užívateľov Habr na unikátny analóg serverov základnej úrovne, ktorý sme pre vás vymysleli: (k dispozícii s RAID1 a RAID10, až 24 jadier a až 40 GB DDR4).
Dell R730xd 2 krát lacnejší? Len tu v Holandsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 USD! Čítať o
Zdroj: hab.com