Danes bomo nadaljevali našo razpravo o omrežjih VLAN in razpravljali o protokolu VTP, pa tudi o konceptih obrezovanja VTP in izvornega VLAN. O VTP smo že govorili v enem od prejšnjih videoposnetkov in prva stvar, ki bi vam morala priti na misel, ko slišite za VTP, je, da to ni protokol trunkinga, čeprav se imenuje »protokol trunking VLAN«.
Kot veste, obstajata dva priljubljena protokola trunkinga - lastniški protokol Cisco ISL, ki se danes ne uporablja, in protokol 802.q, ki se uporablja v omrežnih napravah različnih proizvajalcev za enkapsulacijo trunking prometa. Ta protokol se uporablja tudi v stikalih Cisco. Rekli smo že, da je VTP protokol za sinhronizacijo VLAN, to je, da je zasnovan za sinhronizacijo baze podatkov VLAN v vseh omrežnih stikalih.
Omenili smo različne načine VTP - strežnik, odjemalec, transparent. Če naprava uporablja strežniški način, vam to omogoča spreminjanje, dodajanje ali odstranjevanje omrežij VLAN. Odjemalski način vam ne dovoljuje spreminjanja nastavitev stikala, bazo podatkov VLAN lahko konfigurirate samo prek strežnika VTP in podvojena bo na vseh odjemalcih VTP. Stikalo v transparentnem načinu ne spreminja lastne podatkovne baze VLAN, ampak gre preprosto skozi sebe in prenese spremembe na naslednjo napravo v odjemalskem načinu. Ta način je podoben onemogočanju VTP na določeni napravi, ki jo spremeni v prenosnik informacij o spremembi VLAN.
Vrnimo se k programu Packet Tracer in omrežni topologiji, o kateri smo govorili v prejšnji lekciji. Konfigurirali smo omrežje VLAN10 za oddelek prodaje in omrežje VLAN20 za oddelek marketinga ter ju združili s tremi stikali.
Komunikacija med stikali SW0 in SW1 poteka preko omrežja VLAN20, med SW0 in SW2 pa poteka komunikacija preko omrežja VLAN10, saj smo dodali VLAN10 v bazo VLAN stikala SW1.
Za proučitev delovanja protokola VTP uporabimo eno od stikal kot strežnik VTP, naj bo to SW0. Če se spomnite, vsa stikala privzeto delujejo v načinu strežnika VTP. Pojdimo na terminal ukazne vrstice stikala in vnesite ukaz show vtp status. Vidite, da je trenutna različica protokola VTP 2 in številka revizije konfiguracije 4. Če se spomnite, se ob vsaki spremembi baze podatkov VTP številka revizije poveča za eno.
Največje število podprtih omrežij VLAN je 255. To število je odvisno od znamke določenega stikala Cisco, saj lahko različna stikala podpirajo različno število lokalnih navideznih omrežij. Število obstoječih VLAN je 7, čez minuto si bomo ogledali, katera so ta omrežja. Način nadzora VTP je strežnik, ime domene ni nastavljeno, način obrezovanja VTP je onemogočen, k temu se bomo vrnili pozneje. Onemogočena sta tudi načina VTP V2 in VTP Traps Generation. Za opravljanje izpita CCNA 200-125 vam ni treba vedeti za zadnja dva načina, zato naj vas ne skrbita.
Oglejmo si bazo podatkov VLAN z ukazom show vlan. Kot smo že videli v prejšnjem videu, imamo 4 nepodprta omrežja: 1002, 1003, 1004 in 1005.
Navaja tudi 2 omrežji, ki smo ju ustvarili, VLAN10 in 20, ter privzeto omrežje VLAN1. Zdaj pa pojdimo na drugo stikalo in vnesite isti ukaz za ogled stanja VTP. Vidite, da je številka revizije tega stikala 3, je v načinu strežnika VTP in vse druge informacije so podobne prvemu stikalu. Ko vnesem ukaz show VLAN, lahko vidim, da smo naredili 2 spremembi nastavitev, eno manj kot stikalo SW0, zato je številka revizije SW1 3. Naredili smo 3 spremembe privzetih nastavitev prvega stikalo, zato se je njegova številka revizije povečala na 4.
Zdaj pa poglejmo status SW2. Številka revizije tukaj je 1, kar je čudno. Imeti moramo drugo revizijo, ker je bila narejena 1 sprememba nastavitev. Poglejmo bazo podatkov VLAN.
Naredili smo eno spremembo, ustvarili smo VLAN10, in ne vem, zakaj te informacije niso bile posodobljene. Morda se je to zgodilo zato, ker nimamo pravega omrežja, ampak programski simulator omrežja, ki ima lahko napake. Ko boste med pripravništvom pri Ciscu imeli priložnost delati z resničnimi napravami, vam bo to pomagalo bolj kot simulator Packet Tracer. Še ena uporabna stvar v odsotnosti pravih naprav bi bil GNC3 oziroma grafični simulator omrežja Cisco. To je emulator, ki uporablja pravi operacijski sistem naprave, kot je usmerjevalnik. Obstaja razlika med simulatorjem in emulatorjem – prvi je program, ki je videti kot pravi usmerjevalnik, vendar to ni. Programska oprema emulatorja ustvari samo napravo, vendar za njeno upravljanje uporablja pravo programsko opremo. Če pa ne morete zagnati dejanske programske opreme Cisco IOS, je Packet Tracer vaša najboljša možnost.
Torej, SW0 moramo konfigurirati kot strežnik VTP, za to grem v način konfiguracije globalnih nastavitev in vnesem ukaz vtp različice 2. Kot sem rekel, lahko v tem namestimo različico protokola, ki jo potrebujemo - 1 ali 2 če potrebujemo drugo različico. Nato z ukazom vtp mode nastavimo VTP način stikala - strežnik, odjemalec ali transparent. V tem primeru potrebujemo strežniški način in po vnosu ukaza vtp mode server nam sistem izpiše sporočilo, da je naprava že v strežniškem načinu. Nato moramo konfigurirati domeno VTP, za kar uporabimo ukaz vtp domain nwking.org. Zakaj je to potrebno? Če je v omrežju druga naprava z višjo številko revizije, vse druge naprave z nižjo številko revizije začnejo podvajati bazo podatkov VLAN iz te naprave. Vendar se to zgodi le, če imata napravi isto ime domene. Na primer, če delate na nwking.org, navedete to domeno, če na Cisco, potem domeno cisco.com itd. Ime domene naprav vašega podjetja vam omogoča, da jih ločite od naprav drugega podjetja ali drugih zunanjih naprav v omrežju. Ko napravi dodelite ime domene podjetja, postane del omrežja tega podjetja.
Naslednja stvar je nastaviti geslo VTP. Potreben je, da heker, ki ima napravo z visoko številko revizije, ne more kopirati svojih nastavitev VTP na vaše stikalo. Geslo cisco vnesem z ukazom vtp password cisco. Po tem bo podvajanje podatkov VTP med stikali možno le, če se gesli ujemata. Če je uporabljeno napačno geslo, baza podatkov VLAN ne bo posodobljena.
Poskusimo ustvariti še nekaj omrežij VLAN. Za to uporabim ukaz config t, z ukazom vlan 200 ustvarim številko omrežja 200, mu dam ime TEST in shranim spremembe z ukazom exit. Nato ustvarim še en vlan 500 in ga poimenujem TEST1. Če zdaj vnesete ukaz show vlan, potem v tabeli virtualnih omrežij stikala vidite ti dve novi omrežji, ki jima ni dodeljen niti en port.
Pojdimo na SW1 in poglejmo njegov status VTP. Vidimo, da se tu ni nič spremenilo, razen imena domene, število VLAN-ov ostaja enako 7. Omrežja, ki smo jih ustvarili, se ne prikažejo, ker se geslo VTP ne ujema. Nastavimo geslo VTP na tem stikalu z zaporednim vnosom ukazov conf t, vtp pass in vtp password Cisco. Sistem je sporočil, da baza podatkov VLAN naprave zdaj uporablja geslo Cisco. Oglejmo si še enkrat status VTP, da preverimo, ali so bile informacije podvojene. Kot lahko vidite, se je število obstoječih VLAN samodejno povečalo na 9.
Če pogledate bazo podatkov VLAN tega stikala, lahko vidite, da so se omrežja VLAN200 in VLAN500, ki smo jih ustvarili, samodejno pojavila v njej.
Enako je treba storiti z zadnjim stikalom SW2. Vnesemo ukaz show vlan - vidite, da v njem ni prišlo do nobenih sprememb. Prav tako ni sprememb v statusu VTP. Da bi to stikalo posodabljalo podatke, morate nastaviti tudi geslo, torej vnesti iste ukaze kot za SW1. Po tem se bo število VLAN v statusu SW2 povečalo na 9.
Za to je VTP. To je odlična stvar, ki samodejno posodablja informacije v vseh odjemalskih omrežnih napravah po spremembah v strežniški napravi. Ni vam treba ročno spreminjati baze podatkov VLAN vseh stikal - replikacija se izvede samodejno. Če imate 200 omrežnih naprav, bodo spremembe, ki jih naredite, shranjene na vseh dvesto naprav hkrati. Za vsak slučaj se moramo prepričati, da je SW2 tudi odjemalec VTP, zato pojdimo v nastavitve z ukazom config t in vnesite ukaz odjemalca načina vtp.
Tako je v našem omrežju samo prvo stikalo v načinu VTP Server, ostali dve delujeta v načinu VTP Client. Če grem zdaj v nastavitve SW2 in vnesem ukaz vlan 1000, bom prejel sporočilo: "konfiguriranje VTP VLAN ni dovoljeno, ko je naprava v načinu odjemalca." Tako ne morem spremeniti baze podatkov VLAN, če je stikalo v načinu odjemalca VTP. Če želim narediti kakršne koli spremembe, moram iti na preklopni strežnik.
Grem v nastavitve terminala SW0 in vpišem ukaze vlan 999, poimenujem IMRAN in izstopim. To novo omrežje se je pojavilo v zbirki podatkov VLAN tega stikala in če grem zdaj v zbirko podatkov odjemalskega stikala SW2, bom videl, da so se tukaj pojavile iste informacije, kar pomeni, da je prišlo do replikacije.
Kot sem rekel, je VTP odličen kos programske opreme, a če se uporablja nepravilno, lahko prekine celotno omrežje. Zato morate biti pri ravnanju z omrežjem podjetja zelo previdni, če ime domene in geslo VTP nista nastavljena. V tem primeru mora heker le priključiti kabel svojega stikala v omrežno vtičnico na steni, se povezati s poljubnim pisarniškim stikalom s protokolom DTP in nato s pomočjo ustvarjenega trunka posodobiti vse podatke s protokolom VTP . Na ta način lahko heker izbriše vsa pomembna omrežja VLAN, pri čemer izkoristi dejstvo, da je številka revizije njegove naprave višja od številke revizije drugih stikal. V tem primeru bodo stikala podjetja samodejno zamenjala vse informacije o bazi podatkov VLAN z informacijami, podvojenimi iz zlonamernega stikala, in vaše celotno omrežje se bo sesulo.
To je posledica dejstva, da so računalniki povezani z omrežnim kablom na določena vrata stikala, ki jim je dodeljen VLAN 10 ali VLAN20. Če se ta omrežja izbrišejo iz baze podatkov LAN stikala, bodo samodejno onemogočena vrata, ki pripadajo neobstoječemu omrežju. Običajno se lahko omrežje podjetja sesuje prav zato, ker stikala preprosto onemogočijo vrata, povezana z omrežji VLAN, ki so bila odstranjena med naslednjo posodobitvijo.
Da bi preprečili nastanek takšne težave, morate nastaviti ime in geslo domene VTP ali uporabiti funkcijo Cisco Port Security, ki vam omogoča upravljanje naslovov MAC vrat stikala in uvaja različne omejitve njihove uporabe. Na primer, če nekdo drug poskuša spremeniti naslov MAC, se vrata takoj izklopijo. Kmalu si bomo podrobneje ogledali to funkcijo stikal Cisco, a za zdaj morate vedeti le, da vam Port Security omogoča, da zagotovite, da je VTP zaščiten pred napadalcem.
Povzemimo, kaj je nastavitev VTP. To je izbira različice protokola - 1 ali 2, dodelitev načina VTP - strežnik, odjemalec ali transparent. Kot sem že rekel, slednji način ne posodablja podatkovne baze VLAN same naprave, ampak preprosto prenese vse spremembe na sosednje naprave. Sledijo ukazi za dodelitev imena domene in gesla: domena vtp <ime domene> in geslo vtp <geslo>.
Zdaj pa se pogovorimo o nastavitvah obrezovanja VTP. Če pogledate topologijo omrežja, lahko vidite, da imajo vsa tri stikala isto bazo podatkov VLAN, kar pomeni, da sta VLAN10 in VLAN20 del vseh 3 stikal. Tehnično gledano stikalo SW2 ne potrebuje VLAN20, ker nima vrat, ki pripadajo temu omrežju. Vendar ne glede na to ves promet, poslan iz računalnika Laptop0 prek omrežja VLAN20, doseže stikalo SW1 in od njega gre skozi trunk do vrat SW2. Vaša glavna naloga kot strokovnjaka za omrežja je zagotoviti, da se po omrežju prenaša čim manj nepotrebnih podatkov. Zagotoviti morate, da se prenašajo potrebni podatki, toda kako lahko omejite prenos informacij, ki jih naprava ne potrebuje?
Zagotoviti morate, da promet, namenjen napravam na VLAN20, ne teče do vrat SW2 prek trunka, ko ni potreben. To pomeni, da bi moral promet Laptop0 doseči SW1 in nato do računalnikov na VLAN20, vendar ne bi smel preseči desnih trunk vrat SW1. To je mogoče doseči z obrezovanjem VTP.
Če želite to narediti, moramo iti v nastavitve strežnika VTP SW0, ker kot sem že rekel, lahko nastavitve VTP naredite samo prek strežnika, pojdite v nastavitve globalne konfiguracije in vnesite ukaz za obrezovanje vtp. Ker je Packet Tracer samo simulacijski program, v njegovih pozivih ukazne vrstice ni takega ukaza. Vendar, ko vnesem vtp obrezovanje in pritisnem Enter, mi sistem sporoči, da način obrezovanja vtp ni na voljo.
Z ukazom show vtp status bomo videli, da je način VTP Pruning v onemogočenem stanju, zato ga moramo omogočiti tako, da ga premaknemo v položaj za omogočanje. Ko to storimo, aktiviramo način VTP Pruning na vseh treh stikalih našega omrežja znotraj omrežne domene.
Naj vas spomnim, kaj je VTP Obrezovanje. Ko omogočimo ta način, stikalni strežnik SW0 obvesti stikalo SW2, da je na njegovih vratih konfiguriran samo VLAN10. Po tem stikalo SW2 sporoči stikalu SW1, da ne potrebuje drugega prometa razen prometa, namenjenega VLAN10. Zdaj ima stikalo SW1 zahvaljujoč obrezovanju VTP informacijo, da mu ni treba pošiljati prometa VLAN20 po kanalu SW1-SW2.
To je zelo priročno za vas kot skrbnika omrežja. Ni vam treba ročno vnašati ukazov, ker je stikalo dovolj pametno, da pošlje točno tisto, kar potrebuje določena omrežna naprava. Če jutri postavite drug oddelek za trženje v sosednjo stavbo in povežete njegovo omrežje VLAN20 s stikalom SW2, bo to stikalo takoj sporočilo stikalu SW1, da ima zdaj VLAN10 in VLAN20, in ga prosi, naj posreduje promet za obe omrežji. Te informacije se nenehno posodabljajo v vseh napravah, zaradi česar je komunikacija učinkovitejša.
Obstaja še en način za določitev prenosa prometa - to je uporaba ukaza, ki dovoljuje prenos podatkov samo za določen VLAN. Grem v nastavitve stikala SW1, kjer me zanima port Fa0/4 in vpišem ukaza int fa0/4 in switchport trunk allowed vlan. Ker že vem, da ima SW2 samo VLAN10, lahko povem SW1, naj dovoli samo promet za to omrežje na njegovih glavnih vratih z uporabo dovoljenega ukaza vlan. Tako sem programiral trunk port Fa0/4 za prenos prometa samo za VLAN10. To pomeni, da ta vrata ne bodo dovoljevala nadaljnjega prometa iz VLAN1, VLAN20 ali katerega koli drugega omrežja razen navedenega.
Morda se sprašujete, kaj je bolje uporabiti: VTP Pruning ali dovoljeni ukaz vlan. Odgovor je subjektiven, saj je v nekaterih primerih smiselna uporaba prve metode, v drugih pa druga. Kot skrbnik omrežja morate izbrati najboljšo rešitev. V nekaterih primerih je odločitev o programiranju vrat, ki omogočajo promet iz določenega omrežja VLAN, dobra, v drugih pa slaba. V primeru našega omrežja je uporaba dovoljenega ukaza vlan lahko upravičena, če ne bomo spremenili topologije omrežja. Toda če želi nekdo kasneje dodati skupino naprav, ki uporabljajo VLAN2, v SW 20, bi bilo bolj priporočljivo uporabiti način VTP Pruning.
Torej nastavitev obrezovanja VTP vključuje uporabo naslednjih ukazov. Ukaz za obrezovanje vtp omogoča samodejno uporabo tega načina. Če želite konfigurirati VTP Obrezovanje trunk vrat, da omogočite ročno prehajanje prometa določenega VLAN-a, nato uporabite ukaz za izbiro vmesnika številke trunk port <#>, omogočite trunk mode switchport mode trunk in omogočite prenos prometa v določeno omrežje z ukazom switchport trunk allowed vlan .
V zadnjem ukazu lahko uporabite 5 parametrov. Vse pomeni, da je prenos prometa za vse VLAN dovoljen, nič – prenos prometa za vse VLAN je prepovedan. Če uporabite parameter add, lahko dodate prepustnost prometa za drugo omrežje. Dovolimo na primer promet VLAN10, z ukazom add pa lahko dovolimo tudi prehod prometa VLAN20. Ukaz za odstranitev vam omogoča, da odstranite eno od omrežij, na primer, če uporabite parameter za odstranitev 20, bo ostal samo promet VLAN10.
Zdaj pa poglejmo domači VLAN. Rekli smo že, da je izvorni VLAN navidezno omrežje za prenos neoznačenega prometa skozi določena trunk vrata.
Grem v posebne nastavitve vrat, kot je prikazano v glavi ukazne vrstice SW(config-if)#, in uporabim ukaz switchport trunk native vlan <omrežna številka>, na primer VLAN10. Zdaj bo ves promet na VLAN10 šel skozi neoznačeno deblo.
Vrnimo se k topologiji logičnega omrežja v oknu Packet Tracer. Če uporabim ukaz switchport trunk native vlan 20 na stikalnih vratih Fa0/4, potem bo ves promet na VLAN20 potekal neoznačeno skozi trank Fa0/4 – SW2. Ko stikalo SW2 prejme ta promet, bo pomislilo: "to je neoznačen promet, kar pomeni, da bi ga moral usmeriti v domači VLAN." Za to stikalo je izvorni VLAN omrežje VLAN1. Omrežji 1 in 20 nista na noben način povezani, a ker je uporabljen izvorni način VLAN, imamo možnost usmeriti promet VLAN20 v popolnoma drugo omrežje. Vendar pa bo ta promet neinkapsuliran, sama omrežja pa se morajo še vedno ujemati.
Poglejmo si to s primerom. Šel bom v nastavitve SW1 in uporabil ukaz switchport trunk native vlan 10. Zdaj bo vsak promet VLAN10 prišel iz vrat trunk neoznačen. Ko doseže trunk vrata SW2, bo stikalo razumelo, da ga mora posredovati v VLAN1. Zaradi te odločitve promet ne bo mogel doseči računalnikov PC2, 3 in 4, ker so povezani z dostopnimi vrati stikala, namenjenimi VLAN10.
Tehnično bo to povzročilo, da sistem poroča, da se izvorni VLAN vrat Fa0/4, ki je del VLAN10, ne ujema z vrati Fa0/1, ki je del VLAN1. To pomeni, da določena vrata ne bodo mogla delovati v trunk načinu zaradi izvorne neusklajenosti VLAN.
Hvala, ker ste ostali z nami. So vam všeč naši članki? Želite videti več zanimivih vsebin? Podprite nas tako, da oddate naročilo ali priporočite prijateljem, 30% popust za uporabnike Habr na edinstvenem analogu začetnih strežnikov, ki smo ga izumili za vas: (na voljo z RAID1 in RAID10, do 24 jeder in do 40 GB DDR4).
Dell R730xd 2-krat cenejši? Samo tukaj na Nizozemskem! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB - od 99 $! Preberite o
Vir: www.habr.com