Danes si bomo ogledali protokol dinamičnega povezovanja DTP in VTP - protokol povezovanja VLAN. Kot sem rekel v prejšnji lekciji, bomo izpitne teme ICND2 spremljali v vrstnem redu, kot so navedene na Ciscovem spletnem mestu.
Zadnjič smo si ogledali točko 1.1, danes pa si bomo ogledali 1.2 - nastavitev, preverjanje in odpravljanje težav pri povezavah omrežnih stikal: dodajanje in odstranjevanje omrežij VLAN iz glavnega kanala ter protokolov DTP in VTP različic 1 in 2.
Vsa vrata stikala so privzeto konfigurirana za uporabo dinamičnega samodejnega načina protokola DTP. To pomeni, da se med dvema priključkoma različnih stikal samodejno vklopi trunk, če je eno od vrat v trunk ali želenem načinu. Če so vrata obeh stikal v načinu Dynamic Auto, se trunk ne oblikuje.
Tako je vse odvisno od nastavitve načina delovanja vsakega od 2 stikal. Za lažje razumevanje sem naredil tabelo možnih kombinacij DTP načinov dveh stikal. Vidite, da če obe stikali uporabljata Dynamic Auto, ne bosta oblikovali debla, ampak bosta ostali v načinu dostopa. Če torej želite ustvariti trunk med dvema stikaloma, morate vsaj eno od stikal programirati v način trunk ali programirati trunk vrata za uporabo načina Dynamic Desirable. Kot je razvidno iz tabele, so lahko vsaka vrata stikala v enem od 4 načinov: Access, Dynamic Auto, Dynamic Desirable ali Trunk.
Če sta obe vrati konfigurirani za dostop, bodo povezana stikala uporabljala način dostopa. Če so ena vrata konfigurirana za Dynamic Auto in druga za Access, bosta oba delovala v načinu Access. Če ena vrata delujejo v načinu Access in druga v načinu Trunk, ne bo mogoče povezati stikal, zato te kombinacije načinov ni mogoče uporabiti.
Torej, da trunking deluje, je potrebno, da so ena od vrat stikala programirana za Trunk, druga pa za Trunk, Dynamic Auto ali Dynamic Desirable. Trunk se oblikuje tudi, če sta oba vrata konfigurirana na Dynamic Desirable.
Razlika med Dynamic Desirable in Dynamic Auto je v tem, da v prvem načinu vrata sama sprožijo trunk in pošljejo okvirje DTP v vrata drugega stikala. V drugem načinu vrata stikala čakajo, dokler nekdo ne začne komunicirati z njim, in če so vrata obeh stikal konfigurirana na Dynamic Auto, se med njima nikoli ne oblikuje povezava. V primeru Dynamic Desirable je situacija nasprotna - če sta obe vrati konfigurirani za ta način, bo med njima nujno oblikovano deblo.
Svetujem vam, da si zapomnite to tabelo, saj vam bo pomagala pravilno konfigurirati stikala, povezana med seboj. Oglejmo si ta vidik v programu Packet Tracer. Zaporedno sem povezal 3 stikala in zdaj bom na zaslonu prikazal okna konzole CLI za vsako od teh naprav.
Če vnesem ukaz show int trunk, ne bomo videli nobenega debla, kar je povsem naravno, če ni potrebnih nastavitev, saj so vsa stikala konfigurirana za način Dynamic Auto. Če zahtevam prikaz parametrov vmesnika f0/1 srednjega stikala, boste videli, da je v načinu skrbniških nastavitev naveden dinamični samodejni parameter.
Tretje in prvo stikalo imata podobne nastavitve - imata tudi port f0/1 v dinamičnem samodejnem načinu. Če se spomnite tabele, morajo biti za trunking vsa vrata v trunk načinu ali pa mora biti eno od vrat v načinu Dynamic Desirable.
Gremo v nastavitve prvega stikala SW0 in konfiguriramo vrata f0/1. Po vnosu ukaza za način switchport vas bo sistem vprašal za možne parametre načina: dostop, dinamični ali trunk. Uporabljam dinamični zaželeni ukaz switchport mode in lahko opazite, kako so trunk vrata f0/1 drugega stikala po vnosu tega ukaza najprej prešla v stanje nedosegnjenosti, nato pa po prejemu okvira DTP prvega stikala prešla v dvignjeno stanje.
Če zdaj vnesemo ukaz show int trunk v konzolo CLI stikala SW1, bomo videli, da so vrata f0/1 v stanju povezovanja. Isti ukaz vnesem v konzolo stikala SW1 in vidim isto informacijo, to pomeni, da je zdaj med stikali SW0 in SW1 nameščen trunk. V tem primeru so vrata prvega stikala v želenem načinu, vrata drugega pa v samodejnem načinu.
Med drugim in tretjim stikalom ni povezave, zato grem na nastavitve tretjega stikala in vpišem ukaz switchport mode dynamic desirable. Vidite, da je pri drugem stikalu prišlo do enakih sprememb stanja navzdol navzdol, le da se zdaj dotikajo vrat f0/2, na katera je priključeno stikalo 3. Zdaj ima drugo stikalo dva debla: enega na vmesniku f0/1, drugega na f0/2. To lahko vidite, če uporabite ukaz show int trunk.
Oba porta drugega stikala sta v stanju auto, to pomeni, da morajo biti za trunking s sosednjimi stikali njuni porti v trunk ali želenem načinu, ker sta v tem primeru samo 2 načina za vzpostavitev trunka. S tabelo lahko vedno konfigurirate vrata stikala tako, da med njimi organizirate trunk. To je bistvo uporabe dinamičnega trunking protokola DTP.
Začnimo z ogledom protokola trunking VLAN ali VTP. Ta protokol zagotavlja sinhronizacijo baz podatkov VLAN različnih omrežnih naprav, pri čemer se izvaja prenos posodobljene baze podatkov VLAN iz ene naprave v drugo. Vrnimo se k našemu vezju treh stikal. VTP lahko deluje v treh načinih: strežnik, odjemalec in transparent. VTP v3 ima še en način, imenovan Off, vendar izpit Cisco pokriva samo VTP različici 3 in 3.
Strežniški način se uporablja za ustvarjanje novih omrežij VLAN, brisanje ali spreminjanje omrežij prek ukazne vrstice stikala. V načinu odjemalca ni mogoče izvajati nobenih operacij v omrežjih VLAN; v tem načinu se s strežnika posodobi samo baza podatkov VLAN. Transparentni način deluje, kot da je protokol VTP onemogočen, to pomeni, da stikalo ne oddaja lastnih sporočil VTP, ampak posreduje posodobitve iz drugih stikal - če posodobitev prispe na enega od vrat stikala, jo prenese skozi sebe in pošlje naprej po omrežju prek drugih vrat. V transparentnem načinu stikalo preprosto služi kot oddajnik sporočil drugih ljudi, ne da bi posodabljal lastno bazo podatkov VLAN.
Na tem diapozitivu vidite ukaze za konfiguracijo protokola VTP, vnesene v načinu globalne konfiguracije. Prvi ukaz lahko spremeni uporabljeno različico protokola. Drugi ukaz izbere način delovanja VTP.
Če želite ustvariti VTP domeno, uporabite ukaz vtp domain <domain name>, za nastavitev VTP gesla pa morate vnesti ukaz vtp password <PASSWORD>. Pojdimo na konzolo CLI prvega stikala in poglejmo stanje VTP tako, da vnesemo ukaz show vtp status.
Vidite, da je različica protokola VTP druga, največje število podprtih omrežij VLAN je 255, število obstoječih omrežij VLAN je 5, način delovanja VLAN pa je strežnik. Vse to so privzete nastavitve. O VTP smo že razpravljali v lekciji 30. dan, tako da, če ste kaj pozabili, se lahko vrnete in si znova ogledate ta video.
Za ogled baze podatkov VLAN izdam ukaz show vlan brief. Tukaj sta prikazana VLAN1 in VLAN1002-1005. Privzeto so vsi prosti vmesniki stikala povezani s prvim omrežjem – 23 vrat Fast Ethernet in 2 vrata Gigabit Ethernet, preostali 4 VLAN-i niso podprti. Podatkovni zbirki VLAN drugih dveh stikal sta videti popolnoma enaki, le da SW1 nima 23, ampak 22 hitrih ethernetnih vrat, prostih za VLAN, saj sta f0/1 in f0/2 zasedena s povezavami. Naj vas še enkrat spomnim na to, o čemer smo razpravljali v lekciji "30. dan" - protokol VTP podpira samo posodabljanje baz podatkov VLAN.
Če konfiguriram več vrat za uporabo omrežij VLAN z ukazi VLAN10, VLAN20 ali VLAN30 za dostop do stikalnih vrat in dostop do načina preklopnih vrat, VTP ne bo podvojil konfiguracije teh vrat, ker VTP samo posodobi bazo podatkov VLAN.
Torej, če je eno od vrat SW1 konfigurirano za delo z VLAN20, vendar tega omrežja ni v bazi podatkov VLAN, bodo vrata onemogočena. Po drugi strani pa se posodobitve baze podatkov zgodijo samo pri uporabi protokola VTP.
Z ukazom show vtp status vidim, da so vsa 3 stikala zdaj v strežniškem načinu. Srednje stikalo SW1 bom preklopil v transparentni način z ukazom vtp mode transparent, tretje stikalo SW2 pa v odjemalski način z ukazom vtp mode client.
Zdaj pa se vrnimo k prvemu stikalu SW0 in ustvarimo domeno nwking.org z ukazom vtp domain <domain name>. Če zdaj pogledate stanje VTP drugega stikala, ki je v preglednem načinu, lahko vidite, da se ni na noben način odzvalo na ustvarjanje domene - polje VTP Ime domene je ostalo prazno. Vendar je tretje stikalo, ki je v odjemalskem načinu, posodobilo svojo bazo podatkov in ima zdaj ime domene VTP-nwking.org. Tako je posodobitev baze podatkov stikala SW0 potekala skozi SW1 in se odražala v SW2.
Zdaj bom poskušal spremeniti navedeno ime domene, za kar bom šel v nastavitve SW0 in vtipkal ukaz vtp domain NetworkKing. Kot lahko vidite, tokrat posodobitve ni bilo - ime domene VTP na tretjem stikalu je ostalo isto. Dejstvo je, da se takšna posodobitev imena domene zgodi samo enkrat, ko se spremeni privzeta domena. Če se po tem ime domene VTP znova spremeni, ga bo treba spremeniti ročno na preostalih stikalih.
Zdaj bom ustvaril novo omrežje VLAN100 v konzoli CLI prvega stikala in ga poimenoval IMRAN. Pojavila se je v bazi podatkov VLAN prvega stikala, ni pa se pojavila v bazi podatkov tretjega stikala, ker gre za različne domene. Ne pozabite, da se posodobitev baze podatkov VLAN zgodi samo, če imata obe stikali isto domeno ali, kot sem že pokazal, je namesto privzetega imena nastavljeno novo ime domene.
Grem v nastavitve 3 stikal in zaporedno vnesem ukaza vtp mode in vtp domain NetworkKing. Upoštevajte, da vnos imena razlikuje med velikimi in malimi črkami, zato mora biti črkovanje imena domene popolnoma enako za obe stikali. Zdaj sem SW2 postavil nazaj v odjemalski način z ukazom vtp mode client. Poglejmo, kaj se zgodi. Kot lahko vidite, je zdaj, če se ime domene ujema, baza podatkov SW2 posodobljena in v njej se je pojavilo novo omrežje VLAN100 IMRAN in te spremembe ne vplivajo na povprečno stikalo, ker je v preglednem načinu.
Če se želite zaščititi pred nepooblaščenim dostopom, lahko ustvarite geslo VTP. Vendar morate biti prepričani, da bo naprava na drugi strani imela popolnoma enako geslo, saj bo le v tem primeru lahko sprejemala posodobitve VTP.
Naslednja stvar, ki si jo bomo ogledali, je obrezovanje VTP ali "obrezovanje" neuporabljenih VLAN. Če imate v omrežju 100 naprav, ki uporabljajo VTP, bo posodobitev baze podatkov VLAN na eni napravi samodejno podvojena na ostalih 99 naprav. Vendar pa vse te naprave nimajo VLAN-jev, omenjenih v posodobitvi, zato informacije o njih morda ne bodo potrebne.
Pošiljanje posodobitev baze podatkov VLAN napravam, ki uporabljajo VTP, pomeni, da bodo vsa vrata na vseh napravah prejela informacije o dodanih, odstranjenih in spremenjenih VLAN, s katerimi morda nimajo nobene povezave. Hkrati se omrežje zamaši z odvečnim prometom. Da se to ne bi zgodilo, se uporablja koncept obrezovanja VTP. Če želite na stikalu omogočiti način »obrezovanja« nepomembnih omrežij VLAN, uporabite ukaz za obrezovanje vtp. Stikala si bodo nato samodejno sporočila, katera omrežja VLAN dejansko uporabljajo, in s tem opozorila sosede, da jim ni treba pošiljati posodobitev v omrežja, ki niso povezana z njimi.
Na primer, če SW2 nima nobenih vrat VLAN10, potem ne potrebuje SW1 za pošiljanje prometa za to omrežje. Hkrati stikalo SW1 potrebuje promet VLAN10, ker je eno od njegovih vrat povezano s tem omrežjem, le tega prometa mu ni treba poslati na stikalo SW2.
Torej, če SW2 uporablja način obrezovanja vtp, sporoči SW1: "prosim, ne pošiljajte mi prometa za VLAN10, ker to omrežje ni povezano z mano in nobeno od mojih vrat ni konfigurirano za delo s tem omrežjem." To naredi uporaba ukaza za obrezovanje vtp.
Obstaja še en način filtriranja prometa za določen vmesnik. Omogoča vam konfiguracijo vrat na trank z določenim VLAN. Pomanjkljivost te metode je, da je treba ročno konfigurirati vsaka trunk vrata, pri čemer bo treba določiti, kateri VLAN so dovoljeni in kateri prepovedani. Za to se uporabi zaporedje treh ukazov. Prvi označuje vmesnik, na katerega vplivajo te omejitve, drugi ta vmesnik spremeni v trunk vrata, tretji - switchport trunk allowed vlan < all/none/add/remove/VLAN number> - prikazuje, kateri VLAN je dovoljen na teh vratih: vsi, nobeden, VLAN za dodajanje ali VLAN za brisanje.
Glede na specifično situacijo izberete, kaj boste uporabili: obrezovanje VTP ali dovoljeno deblo. Nekatere organizacije raje ne uporabljajo VTP iz varnostnih razlogov, zato se odločijo za ročno konfiguracijo kanalov. Ker ukaz za obrezovanje vtp ne deluje v Packet Tracerju, ga bom prikazal v emulatorju GNS3.
Če greste v nastavitve SW2 in vnesete ukaz za obrezovanje vtp, bo sistem takoj javil, da je ta način omogočen: Obrezovanje je vklopljeno, to pomeni, da je "obrezovanje" VLAN vklopljeno samo z enim ukazom.
Če vnesemo ukaz show vtp status, bomo videli, da je omogočen način obrezovanja vtp.
Če ta način nastavljate na preklopnem strežniku, pojdite na njegove nastavitve in vnesite ukaz za obrezovanje vtp. To pomeni, da bodo naprave, povezane s strežnikom, samodejno uporabile obrezovanje vtp, da bi čim bolj zmanjšale trunking promet za nepomembna omrežja VLAN.
Če ne želite uporabljati tega načina, se morate prijaviti v določen vmesnik, na primer e0/0, in nato izdati ukaz switchport trunk allowed vlan. Sistem vam bo dal namige o možnih parametrih za ta ukaz:
— WORD — številka VLAN, ki bo dovoljena na tem vmesniku v trunk načinu;
— dodaj — VLAN, ki bo dodan na seznam baze podatkov VLAN;
— vse — dovoli vsa omrežja VLAN;
— razen — dovoli vse VLAN razen navedenih;
— nobena—prepovedati vsa omrežja VLAN;
— odstrani—odstrani VLAN s seznama baze podatkov VLAN.
Na primer, če imamo trunk dovoljen za VLAN10 in ga želimo dovoliti za omrežje VLAN20, potem moramo vnesti ukaz switchport trunk allowed vlan add 20.
Želim vam pokazati nekaj drugega, zato uporabljam ukaz show interface trunk. Upoštevajte, da so bili privzeto dovoljeni vsi VLAN 1-1005 za deblo, zdaj pa jim je bil dodan VLAN10.
Če uporabim ukaz switchport trunk allowed vlan add 20 in znova vprašam za prikaz statusa trunka, lahko vidimo, da ima trunk zdaj dovoljeni dve omrežji - VLAN10 in VLAN20.
V tem primeru noben drug promet, razen tistega, ki je namenjen določenim omrežjem, ne bo mogel skozi to deblo. Z dovolitvijo prometa samo za VLAN 10 in VLAN 20 smo zavrnili promet za vsa druga omrežja VLAN. Tukaj je opisano, kako ročno konfigurirati nastavitve povezovanja za določen VLAN na določenem vmesniku stikala.
Upoštevajte, da imamo do konca dneva 17. novembra 2017 90% popust na stroške prenosa laboratorijskega dela na to temo na naši spletni strani.
Hvala za vašo pozornost in se vidimo v naslednji video lekciji!
Hvala, ker ste ostali z nami. So vam všeč naši članki? Želite videti več zanimivih vsebin? Podprite nas tako, da oddate naročilo ali priporočite prijateljem, 30% popust za uporabnike Habr na edinstvenem analogu začetnih strežnikov, ki smo ga izumili za vas: (na voljo z RAID1 in RAID10, do 24 jeder in do 40 GB DDR4).
Dell R730xd 2-krat cenejši? Samo tukaj na Nizozemskem! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB - od 99 $! Preberite o
Vir: www.habr.com