Dnes sa pozrieme na dynamický trunkový protokol DTP a VTP - VLAN trunking protokol. Ako som povedal v minulej lekcii, témy skúšky ICND2 budeme sledovať v poradí, v akom sú uvedené na webovej stránke Cisco.
Minule sme sa zaoberali bodom 1.1 a dnes sa pozrieme na bod 1.2 – nastavenie, kontrola a riešenie problémov so sieťovými prepínačmi: pridávanie a odstraňovanie sietí VLAN z kmeňa a protokolov DTP a VTP verzie 1 a 2.
Všetky porty prepínača sú predvolene nakonfigurované tak, aby používali dynamický automatický režim protokolu DTP. To znamená, že keď sú pripojené dva porty rôznych prepínačov, medzi nimi sa automaticky zapne trunk, ak je jeden z portov v trunkovom alebo požadovanom režime. Ak sú porty oboch prepínačov v režime Dynamic Auto, kmeň sa nevytvorí.
Všetko teda závisí od nastavenia prevádzkových režimov každého z 2 spínačov. Pre ľahšie pochopenie som spravil tabuľku možných kombinácií DTP režimov dvoch prepínačov. Vidíte, že ak oba prepínače používajú Dynamic Auto, nevytvoria kmeň, ale zostanú v režime Access. Preto, ak chcete, aby sa medzi dvoma prepínačmi vytvoril trunk, musíte naprogramovať aspoň jeden z prepínačov do režimu Trunk, alebo naprogramovať port trunku tak, aby používal režim Dynamic Desirable. Ako je zrejmé z tabuľky, každý z portov prepínača môže byť v jednom zo 4 režimov: Access, Dynamic Auto, Dynamic Desirable alebo Trunk.
Ak sú oba porty nakonfigurované na prístup, pripojené prepínače budú používať režim prístupu. Ak je jeden port nakonfigurovaný na dynamický automatický režim a druhý na prístup, oba budú fungovať v režime prístupu. Ak jeden port pracuje v režime Access a druhý v režime Trunk, nebude možné pripojiť prepínače, takže túto kombináciu režimov nemožno použiť.
Aby teda trunking fungoval, je potrebné, aby bol jeden z portov prepínača naprogramovaný pre Trunk a druhý pre Trunk, Dynamic Auto alebo Dynamic Desirable. Kanál sa vytvorí aj vtedy, ak sú oba porty nakonfigurované na Dynamický požadovaný.
Rozdiel medzi Dynamic Desirable a Dynamic Auto je v tom, že v prvom režime samotný port inicializuje trunk a posiela DTP rámce do portu druhého prepínača. V druhom režime port prepínača čaká, kým s ním niekto nezačne komunikovať, a ak sú porty oboch prepínačov nakonfigurované na Dynamic Auto, nikdy sa medzi nimi nevytvorí trunk. V prípade Dynamic Desirable je situácia opačná – ak sú pre tento režim nakonfigurované oba porty, nevyhnutne sa medzi nimi vytvorí trunk.
Odporúčam vám zapamätať si túto tabuľku, pretože vám pomôže správne nakonfigurovať navzájom prepojené prepínače. Pozrime sa na tento aspekt v programe Packet Tracer. Zapojil som 3 prepínače do série a teraz zobrazím na obrazovke okná konzoly CLI pre každé z týchto zariadení.
Ak zadám príkaz show int trunk, neuvidíme žiadny trunk, čo je pri absencii potrebných nastavení úplne prirodzené, keďže všetky prepínače sú nakonfigurované na režim Dynamic Auto. Ak požiadam o zobrazenie parametrov rozhrania f0/1 stredného prepínača, uvidíte, že v režime správcovských nastavení je uvedený parameter dynamic auto.
Tretí a prvý prepínač majú podobné nastavenia – majú tiež port f0/1 v dynamickom automatickom režime. Ak si pamätáte tabuľku, pre trunking musia byť všetky porty v režime trunk alebo jeden z portov musí byť v dynamickom režime.
Poďme do nastavení prvého prepínača SW0 a nakonfigurujeme port f0/1. Po zadaní príkazu switchport mode vás systém vyzve na možné parametre režimu: access, dynamic alebo trunk. Používam dynamický požadovaný príkaz v režime prepínača a môžete si všimnúť, ako sa kmeňový port f0/1 druhého prepínača po zadaní tohto príkazu najprv prepol do stavu vypnutia a potom po prijatí rámca DTP prvého prepínača prešiel do stavu hore.
Ak teraz zadáme príkaz show int trunk v CLI konzole prepínača SW1, uvidíme, že port f0/1 je v trunkingovom stave. Zadávam rovnaký príkaz do konzoly prepínača SW1 a vidím rovnaké informácie, to znamená, že teraz je medzi prepínačmi SW0 a SW1 nainštalovaný kmeň. V tomto prípade je port prvého prepínača v požadovanom režime a port druhého v automatickom režime.
Medzi druhým a tretím prepínačom nie je žiadne spojenie, takže prejdem do nastavení tretieho prepínača a vstúpim do príkazu switchport mode dynamic požadovaný. Vidíte, že v druhom prepínači nastali rovnaké zmeny stavu smerom nahor, len sa teraz dotýkajú portu f0/2, ku ktorému je pripojený prepínač 3. Teraz má druhý prepínač dva kanály: jeden na rozhraní f0/1, druhý na f0/2. Môžete to vidieť, ak použijete príkaz show int trunk.
Oba porty druhého prepínača sú v automatickom stave, to znamená, že pri trunkingu so susednými prepínačmi musia byť ich porty v trunkovom alebo požadovanom režime, pretože v tomto prípade existujú iba 2 režimy na vytvorenie trunku. Pomocou tabuľky môžete vždy nakonfigurovať porty prepínača tak, aby ste medzi nimi usporiadali kmeň. Toto je podstata používania dynamického trunkového protokolu DTP.
Začnime sa zaoberať VLAN trunking protokolom alebo VTP. Tento protokol zabezpečuje synchronizáciu databáz VLAN rôznych sieťových zariadení, pričom vykonáva prenos aktualizovanej databázy VLAN z jedného zariadenia do druhého. Vráťme sa k nášmu okruhu 3 spínačov. VTP môže fungovať v 3 režimoch: server, klient a transparentný. VTP v3 má ďalší režim s názvom Off, ale skúška Cisco pokrýva iba VTP verzie XNUMX a XNUMX.
Režim servera sa používa na vytváranie nových VLAN, mazanie alebo zmenu sietí cez príkazový riadok prepínača. V klientskom režime nie je možné vykonávať žiadne operácie na VLAN, v tomto režime sa zo servera aktualizuje iba VLAN databáza. Transparentný režim funguje tak, ako keby bol VTP protokol zakázaný, to znamená, že prepínač nevydáva svoje vlastné VTP správy, ale prenáša aktualizácie z iných prepínačov – ak aktualizácia príde na jeden z portov prepínača, prejde ju cez seba a odošle ďalej cez sieť cez iný port. V transparentnom režime prepínač jednoducho slúži ako vysielač správ iných ľudí bez aktualizácie vlastnej databázy VLAN.
Na tejto snímke vidíte konfiguračné príkazy protokolu VTP zadané v režime globálnej konfigurácie. Prvý príkaz môže zmeniť použitú verziu protokolu. Druhý príkaz vyberie prevádzkový režim VTP.
Ak chcete vytvoriť doménu VTP, použite príkaz vtp domain <názov domény> a na nastavenie hesla VTP musíte zadať príkaz vtp password <PASSWORD>. Poďme do konzoly CLI prvého prepínača a pozrime sa na stav VTP zadaním príkazu show vtp status.
Verzia protokolu VTP je druhá, maximálny počet podporovaných sietí VLAN je 255, počet existujúcich sietí VLAN je 5 a prevádzkový režim VLAN je server. Toto všetko sú predvolené nastavenia. VTP sme už rozoberali v lekcii 30. deň, takže ak ste na niečo zabudli, môžete sa vrátiť a pozrieť si toto video znova.
Ak chcete zobraziť databázu VLAN, vydám príkaz show vlan brief. Tu sú zobrazené VLAN1 a VLAN1002-1005. Štandardne sú všetky voľné rozhrania prepínača pripojené k prvej sieti – 23 portov Fast Ethernet a 2 porty Gigabit Ethernet, zvyšné 4 VLAN nie sú podporované. VLAN databázy ostatných dvoch prepínačov vyzerajú úplne rovnako, až na to, že SW1 nemá 23, ale 22 Fast Ethernet portov voľných pre VLAN, keďže f0/1 a f0/2 sú obsadené trunkmi. Dovoľte mi ešte raz pripomenúť, o čom sa hovorilo v lekcii „30. deň“ - protokol VTP podporuje iba aktualizáciu databáz VLAN.
Ak nakonfigurujem viacero portov na používanie VLAN s príkazmi switchport access a switchport mode access VLAN10, VLAN20 alebo VLAN30, konfigurácia týchto portov nebude replikovaná VTP, pretože VTP aktualizuje iba databázu VLAN.
Ak je teda jeden z portov SW1 nakonfigurovaný na prácu s VLAN20, ale táto sieť nie je v databáze VLAN, port bude zakázaný. Aktualizácie databázy sa zase vyskytujú iba pri použití protokolu VTP.
Pomocou príkazu show vtp status vidím, že všetky 3 prepínače sú teraz v režime servera. Prostredný prepínač SW1 prepnem do transparentného režimu príkazom vtp mode transparent a tretí prepínač SW2 prepnem do klientského režimu príkazom vtp mode client.
Teraz sa vráťme k prvému prepínaču SW0 a pomocou príkazu vtp domain <názov domény> vytvorte doménu nwking.org. Ak sa teraz pozriete na stav VTP druhého prepínača, ktorý je v transparentnom režime, môžete vidieť, že nijako nereagoval na vytvorenie domény - pole VTP Domain Name zostalo prázdne. Avšak tretí prepínač, ktorý je v klientskom režime, aktualizoval svoju databázu a teraz má názov domény VTP-nwking.org. Aktualizácia databázy prepínača SW0 teda prešla cez SW1 a prejavila sa v SW2.
Teraz skúsim zmeniť zadaný názov domény, pre ktorý prejdem do nastavení SW0 a napíšem príkaz vtp domain NetworKing. Ako vidíte, tentoraz nedošlo k žiadnej aktualizácii - názov domény VTP na treťom prepínači zostal rovnaký. Faktom je, že takáto aktualizácia názvu domény nastane iba raz, keď sa zmení predvolená doména. Ak sa potom názov domény VTP znova zmení, bude potrebné ho zmeniť manuálne na zostávajúcich prepínačoch.
Teraz vytvorím novú sieť VLAN100 v CLI konzole prvého prepínača a nazvem ju IMRAN. Objavil sa v databáze VLAN prvého prepínača, ale neobjavil sa v databáze tretieho prepínača, pretože ide o rôzne domény. Pamätajte, že aktualizácia databázy VLAN prebieha iba vtedy, ak majú oba prepínače rovnakú doménu, alebo, ako som už ukázal, namiesto predvoleného názvu je nastavený nový názov domény.
Prejdem do nastavení 3 prepínačov a postupne zadávam príkazy NetworkKing do režimu vtp a domény vtp. Upozorňujeme, že pri zadávaní názvu sa rozlišujú veľké a malé písmená, takže pravopis názvu domény musí byť pre oba prepínače úplne rovnaký. Teraz som dal SW2 späť do klientskeho režimu pomocou príkazu klienta vtp mode. Poďme sa pozrieť čo sa stalo. Ako vidíte, teraz, ak sa názov domény zhoduje, bola aktualizovaná databáza SW2 a objavila sa v nej nová sieť VLAN100 IMRAN a tieto zmeny nemajú žiadny vplyv na priemerný switch, pretože je v transparentnom režime.
Ak sa chcete chrániť pred neoprávneným prístupom, môžete si vytvoriť heslo VTP. Musíte si však byť istí, že zariadenie na druhej strane bude mať presne rovnaké heslo, pretože iba v tomto prípade bude môcť prijímať aktualizácie VTP.
Ďalšia vec, na ktorú sa pozrieme, je prerezávanie VTP alebo „prerezávanie“ nepoužívaných sietí VLAN. Ak máte vo svojej sieti 100 zariadení, ktoré používajú VTP, aktualizácia databázy VLAN na jednom zariadení sa automaticky replikuje na ostatných 99 zariadení. Nie všetky tieto zariadenia však majú VLAN spomínané v aktualizácii, takže informácie o nich nemusia byť potrebné.
Odosielanie aktualizácií databázy VLAN zariadeniam pomocou VTP znamená, že všetky porty na všetkých zariadeniach budú dostávať informácie o pridaných, odstránených a zmenených VLAN, s ktorými nemusia mať nič spoločné. Zároveň sa sieť zanáša nadmernou prevádzkou. Aby sa tomu zabránilo, používa sa koncept orezávania VTP. Ak chcete povoliť režim „prerezávania“ irelevantných sietí VLAN na prepínači, použite príkaz vtp prerezávanie. Prepínače si potom automaticky oznámia, ktoré VLAN skutočne používajú, čím upozornia susedov, že nemusia posielať aktualizácie do sietí, ktoré k nim nie sú pripojené.
Napríklad, ak SW2 nemá žiadne porty VLAN10, potom nepotrebuje SW1 na odosielanie prevádzky pre túto sieť. Prepínač SW1 zároveň potrebuje prevádzku VLAN10, pretože jeden z jeho portov je pripojený k tejto sieti, akurát túto prevádzku nemusí posielať do prepínača SW2.
Takže ak SW2 používa režim prerezávania vtp, hovorí SW1: „Neposielajte mi prenos pre VLAN10, pretože táto sieť nie je pripojená ku mne a žiadny z mojich portov nie je nakonfigurovaný na prácu s touto sieťou.“ Toto robí použitie príkazu vtp prerezávanie.
Existuje ďalší spôsob, ako filtrovať návštevnosť pre konkrétne rozhranie. Umožňuje vám konfigurovať port na kmeni so špecifickou VLAN. Nevýhodou tejto metódy je nutnosť ručnej konfigurácie každého trunkového portu, pričom bude potrebné špecifikovať, ktoré VLAN sú povolené a ktoré sú zakázané. Na tento účel sa používa sekvencia 3 príkazov. Prvý označuje rozhranie ovplyvnené týmito obmedzeniami, druhý premení toto rozhranie na kmeňový port a tretí - vlan s povoleným prepojovacím portom vlan < všetky/žiadne/pridať/odstrániť/číslo VLAN> - ukazuje, ktorá VLAN je povolená na tomto porte: všetko, nikto jeden, VLAN sa má pridať alebo VLAN sa má vymazať.
V závislosti od konkrétnej situácie si vyberiete, čo použiť: VTP prerezávanie alebo Trunk povolený. Niektoré organizácie radšej nepoužívajú VTP z bezpečnostných dôvodov, preto sa rozhodnú nakonfigurovať trunking manuálne. Keďže príkaz vtp prerezávanie nefunguje v Packet Tracer, ukážem to v emulátore GNS3.
Ak prejdete do nastavení SW2 a zadáte príkaz vtp prerezávanie, systém okamžite ohlási, že tento režim je povolený: Prerezávanie je zapnuté, to znamená, že „prerezávanie“ VLAN je zapnuté iba jedným príkazom.
Ak zadáme príkaz show vtp status, uvidíme, že režim prerezávania vtp je povolený.
Ak nastavujete tento režim na prepínacom serveri, prejdite na jeho nastavenia a zadajte príkaz vtp prerezávanie. To znamená, že zariadenia pripojené k serveru budú automaticky používať prerezávanie vtp, aby sa minimalizovala trunková prevádzka pre irelevantné siete VLAN.
Ak nechcete používať tento režim, musíte sa prihlásiť do špecifického rozhrania, napríklad e0/0, a potom vydať príkaz vlan povolený kmeň prepínača. Systém vám poskytne rady o možných parametroch tohto príkazu:
— WORD — číslo VLAN, ktoré bude povolené na tomto rozhraní v režime trunk;
— add — VLAN, ktorá sa má pridať do zoznamu databáz VLAN;
— all — povoliť všetky siete VLAN;
— okrem — povoliť všetky siete VLAN okrem tých, ktoré sú špecifikované;
— žiadne—zakázať všetky siete VLAN;
— remove—odstránenie siete VLAN zo zoznamu databáz VLAN.
Napríklad, ak máme trunk povolený pre VLAN10 a chceme ho povoliť pre sieť VLAN20, tak musíme zadať príkaz switchport trunk povolený vlan add 20.
Chcem vám ukázať niečo iné, preto použijem príkaz show interface trunk. Upozorňujeme, že štandardne boli pre kmeň povolené všetky siete VLAN 1-1005 a teraz k nim bola pridaná VLAN10.
Ak použijem príkaz trunkport trunk povolený vlan add 20 a znova požiadam o zobrazenie stavu trunku, vidíme, že trunk má teraz povolené dve siete - VLAN10 a VLAN20.
V tomto prípade nebude môcť cez tento kmeň prechádzať žiadna iná prevádzka okrem tých, ktoré sú určené pre špecifikované siete. Povolením prenosu iba pre VLAN 10 a VLAN 20 sme zakázali prenos pre všetky ostatné VLAN. Tu je návod, ako manuálne nakonfigurovať nastavenia trunkingu pre konkrétnu sieť VLAN na konkrétnom rozhraní prepínača.
Upozorňujeme, že do 17. novembra 2017 máme do konca dňa 90% zľavu z ceny sťahovania laboratórnych prác na túto tému na našej stránke.
Ďakujem za pozornosť a vidíme sa pri ďalšej video lekcii!
Ďakujeme, že ste zostali s nami. Páčia sa vám naše články? Chcete vidieť viac zaujímavého obsahu? Podporte nás zadaním objednávky alebo odporučením priateľom, 30% zľava pre užívateľov Habr na unikátny analóg serverov základnej úrovne, ktorý sme pre vás vymysleli: (k dispozícii s RAID1 a RAID10, až 24 jadier a až 40 GB DDR4).
Dell R730xd 2 krát lacnejší? Len tu v Holandsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 USD! Čítať o
Zdroj: hab.com