Данас ћемо наставити нашу дискусију о ВЛАН-овима и дискутовати о ВТП протоколу, као и концептима ВТП орезивања и Нативе ВЛАН-а. Већ смо говорили о ВТП-у у једном од претходних видео записа, а прва ствар која би вам требала пасти на памет када чујете за ВТП је да то није транкинг протокол, упркос томе што се назива „ВЛАН транкинг протокол“.
Као што знате, постоје два популарна транк протокола - власнички Цисцо ИСЛ протокол, који се данас не користи, и 802.к протокол, који се користи у мрежним уређајима различитих произвођача за енкапсулацију транк саобраћаја. Овај протокол се такође користи у Цисцо прекидачима. Већ смо рекли да је ВТП протокол за ВЛАН синхронизацију, односно дизајниран је да синхронизује ВЛАН базу података преко свих мрежних прекидача.
Поменули смо различите ВТП режиме - сервер, клијент, транспарентан. Ако уређај користи режим сервера, ово вам омогућава да уносите измене, додајете или уклањате ВЛАН. Режим клијента вам не дозвољава да мењате подешавања прекидача, ВЛАН базу података можете да конфигуришете само преко ВТП сервера и она ће се реплицирати на све ВТП клијенте. Прекидач у транспарентном режиму не прави промене у сопственој ВЛАН бази података, већ једноставно пролази кроз себе и преноси промене на следећи уређај у клијентском режиму. Овај режим је сличан онемогућавању ВТП-а на одређеном уређају, претварајући га у транспортер информација о промени ВЛАН-а.
Вратимо се на програм Пацкет Трацер и топологију мреже о којој је било речи у претходној лекцији. Конфигурисали смо ВЛАН10 мрежу за одељење продаје и ВЛАН20 мрежу за одељење маркетинга, комбинујући их са три прекидача.
Између прекидача СВ0 и СВ1 комуникација се одвија преко ВЛАН20 мреже, а између СВ0 и СВ2 постоји комуникација преко ВЛАН10 мреже због чињенице да смо додали ВЛАН10 у ВЛАН базу података свитцх СВ1.
Да бисмо размотрили рад ВТП протокола, користимо један од свичева као ВТП сервер, нека буде СВ0. Ако се сећате, подразумевано сви прекидачи раде у режиму ВТП сервера. Идемо на терминал командне линије прекидача и унесите команду схов втп статус. Видите да је тренутна верзија ВТП протокола 2, а број ревизије конфигурације је 4. Ако се сећате, сваки пут када се направе промене у ВТП бази података, број ревизије се повећава за један.
Максималан број подржаних ВЛАН-ова је 255. Овај број зависи од бренда специфичног Цисцо свича, пошто различити свичеви могу подржавати различите бројеве локалних виртуелних мрежа. Број постојећих ВЛАН-ова је 7, за минут ћемо погледати које су то мреже. Режим контроле ВТП-а је сервер, име домена није подешено, режим ВТП резања је онемогућен, на ово ћемо се вратити касније. ВТП В2 и ВТП режими генерисања замки су такође онемогућени. Не морате да знате за последња два режима да бисте положили 200-125 ЦЦНА испит, тако да не брините о њима.
Хајде да погледамо ВЛАН базу података користећи команду схов влан. Као што смо већ видели у претходном видеу, имамо 4 неподржане мреже: 1002, 1003, 1004 и 1005.
Такође наводи 2 мреже које смо креирали, ВЛАН10 и 20, и подразумевану мрежу, ВЛАН1. Сада пређимо на други прекидач и унесите исту команду да видите ВТП статус. Видите да је број ревизије овог прекидача 3, да је у режиму ВТП сервера и све остале информације су сличне првом прекидачу. Када уђем у команду схов ВЛАН, видим да смо извршили 2 промене подешавања, једну мање од прекидача СВ0, због чега је број ревизије СВ1 3. Направили смо 3 промене подразумеваних подешавања првог прекидач, па је његов број ревизије повећан на 4.
Погледајмо сада статус СВ2. Број ревизије овде је 1, што је чудно. Морамо имати другу ревизију јер је направљена 1 промена подешавања. Погледајмо ВЛАН базу података.
Направили смо једну промену, креирајући ВЛАН10, и не знам зашто та информација није ажурирана. Можда се то догодило зато што немамо праву мрежу, већ софтверски мрежни симулатор, који може имати грешке. Када будете имали прилику да радите са стварним уређајима док стажирате у Цисцо-у, то ће вам помоћи више од Пацкет Трацер симулатора. Још једна корисна ствар у недостатку правих уређаја би био ГНЦ3, или графички Цисцо мрежни симулатор. Ово је емулатор који користи прави оперативни систем уређаја, као што је рутер. Постоји разлика између симулатора и емулатора - први је програм који изгледа као прави рутер, али није. Софтвер емулатора креира само сам уређај, али користи прави софтвер за управљање њиме. Али ако немате могућност да покренете стварни Цисцо ИОС софтвер, Пацкет Трацер је ваша најбоља опција.
Дакле, треба да конфигуришемо СВ0 као ВТП сервер, за ово улазим у режим конфигурације глобалних подешавања и уносим команду втп верзија 2. Као што сам рекао, можемо да инсталирамо верзију протокола која нам је потребна - 1 или 2, у овом у случају да нам је потребна друга верзија. Затим, користећи команду втп моде, постављамо ВТП режим прекидача - сервер, клијент или транспарентан. У овом случају нам је потребан серверски режим, а након уноса команде сервера втп моде, систем приказује поруку да је уређај већ у серверском режиму. Затим морамо да конфигуришемо ВТП домен, за који користимо команду втп домена нвкинг.орг. Зашто је ово неопходно? Ако постоји други уређај на мрежи са већим бројем ревизије, сви остали уређаји са нижим бројем ревизије почињу да реплицирају ВЛАН базу података са тог уређаја. Међутим, то се дешава само ако уређаји имају исто име домена. На пример, ако радите на нвкинг.орг, назначите овај домен, ако у Цисцо, онда домен цисцо.цом, и тако даље. Назив домена уређаја ваше компаније вам омогућава да их разликујете од уређаја друге компаније или од било ког другог спољног уређаја на мрежи. Када уређају доделите име домена компаније, чините га делом мреже те компаније.
Следеће што треба да урадите је да поставите ВТП лозинку. То је потребно да хакер, који има уређај са великим бројем ревизије, не може да копира своја ВТП подешавања на ваш прекидач. Уносим цисцо лозинку користећи втп лозинку цисцо команду. Након овога, репликација ВТП података између прекидача ће бити могућа само ако се лозинке поклапају. Ако се користи погрешна лозинка, ВЛАН база података неће бити ажурирана.
Хајде да покушамо да направимо још ВЛАН-ова. Да бих то урадио, користим команду цонфиг т, користим команду влан 200 да креирам број мреже 200, дам јој име ТЕСТ и сачувам промене командом за излаз. Затим креирам још један влан 500 и зовем га ТЕСТ1. Ако сада унесете команду схов влан, онда у табели виртуелних мрежа комутатора можете видети ове две нове мреже, којима није додељен ниједан порт.
Пређимо на СВ1 и видимо његов ВТП статус. Видимо да се овде ништа није променило осим имена домена, број ВЛАН-ова је остао једнак 7. Не видимо да се појављују мреже које смо креирали јер се ВТП лозинка не поклапа. Поставимо ВТП лозинку на овом прекидачу тако што ћемо узастопно уносити команде цонф т, втп пасс и втп пассворд Цисцо. Систем је известио да ВЛАН база података уређаја сада користи Цисцо лозинку. Хајде да још једном погледамо ВТП статус да проверимо да ли су информације реплициране. Као што видите, број постојећих ВЛАН-ова се аутоматски повећао на 9.
Ако погледате ВЛАН базу података овог свича, можете видети да су се ВЛАН200 и ВЛАН500 мреже које смо креирали аутоматски појавиле у њој.
Исто треба урадити са последњим прекидачем СВ2. Хајде да унесемо команду схов влан - можете видети да у њој није дошло до промена. Исто тако, нема промене у ВТП статусу. Да би овај прекидач ажурирао информације, потребно је и да подесите лозинку, односно унесете исте команде као и за СВ1. Након тога, број ВЛАН-ова у СВ2 статусу ће се повећати на 9.
То је оно чему служи ВТП. Ово је сјајна ствар која аутоматски ажурира информације на свим клијентским мрежним уређајима након што се изврше промене на серверском уређају. Не морате ручно да уносите промене у ВЛАН базу података свих прекидача - репликација се дешава аутоматски. Ако имате 200 мрежних уређаја, промене које направите биће сачуване на свих две стотине уређаја истовремено. За сваки случај, морамо да се уверимо да је СВ2 такође ВТП клијент, па хајде да уђемо у подешавања командом цонфиг т и унесемо команду клијента втп режима.
Дакле, у нашој мрежи је само први прекидач у режиму ВТП сервера, друга два раде у режиму ВТП клијента. Ако сада уђем у подешавања СВ2 и унесем команду влан 1000, добићу поруку: „Конфигурисање ВТП ВЛАН-а није дозвољено када је уређај у режиму клијента.“ Стога, не могу да извршим промене у ВЛАН бази података ако је прекидач у режиму ВТП клијента. Ако желим да извршим било какве промене, морам да одем на сервер за пребацивање.
Одем до подешавања терминала СВ0 и унесем команде влан 999, назовем ИМРАН и изађем. Ова нова мрежа се појавила у ВЛАН бази података овог свича и ако сада пређем на базу података клијентског свича СВ2, видећу да се овде појавила иста информација, односно да је дошло до репликације.
Као што сам рекао, ВТП је одличан софтвер, али ако се користи погрешно, може пореметити целу мрежу. Због тога морате бити веома опрезни када рукујете мрежом компаније ако име домена и ВТП лозинка нису подешени. У овом случају, све што хакер треба да уради је да утакне кабл свог прекидача у мрежну утичницу на зиду, повеже се на било који канцеларијски прекидач користећи ДТП протокол и затим, користећи креирани трунк, ажурира све информације користећи ВТП протокол . На овај начин, хакер може да избрише све важне ВЛАН мреже, користећи предност чињенице да је број ревизије његовог уређаја већи од броја ревизије других прекидача. У овом случају, комутатори компаније ће аутоматски заменити све информације о ВЛАН бази података информацијама које су реплициране са злонамерног прекидача и цела ваша мрежа ће се срушити.
Ово је због чињенице да су рачунари повезани помоћу мрежног кабла на одређени порт комутатора коме је додељен ВЛАН 10 или ВЛАН20. Ако се ове мреже избришу из ЛАН базе података комутатора, аутоматски ће се онемогућити порт који припада непостојећој мрежи. Обично се мрежа компаније може урушити управо зато што прекидачи једноставно онемогућавају портове повезане са ВЛАН-овима који су уклоњени током следећег ажурирања.
Да бисте спречили појаву оваквог проблема, потребно је да подесите ВТП име домена и лозинку или користите функцију Цисцо Порт Сецурити, која вам омогућава да управљате МАЦ адресама комутационих портова, уводећи различита ограничења у њихову употребу. На пример, ако неко други покуша да промени МАЦ адресу, порт ће се одмах спустити. Ускоро ћемо детаљније погледати ову функцију Цисцо прекидача, али за сада све што треба да знате је да вам Порт Сецурити омогућава да се уверите да је ВТП заштићен од нападача.
Хајде да сумирамо шта је ВТП подешавање. Ово је избор верзије протокола - 1 или 2, додељивање ВТП режима - сервер, клијент или транспарентан. Као што сам већ рекао, последњи режим не ажурира ВЛАН базу података самог уређаја, већ једноставно преноси све промене на суседне уређаје. Следе команде за додељивање имена домена и лозинке: втп домен <име домена> и втп лозинка <лозинка>.
Хајде сада да причамо о подешавањима ВТП обрезивања. Ако погледате топологију мреже, можете видети да сва три прекидача имају исту ВЛАН базу података, што значи да су ВЛАН10 и ВЛАН20 део сва 3 прекидача. Технички, свичу СВ2 није потребан ВЛАН20 јер нема портове који припадају овој мрежи. Међутим, без обзира на ово, сав саобраћај послат са Лаптоп0 рачунара преко ВЛАН20 мреже стиже до СВ1 прекидача и од њега иде кроз трунк до СВ2 портова. Ваш главни задатак као мрежног стручњака је да обезбедите да се што мање непотребних података преноси преко мреже. Морате осигурати да се неопходни подаци преносе, али како можете ограничити пренос информација које нису потребне уређају?
Морате да обезбедите да саобраћај намењен уређајима на ВЛАН20 не тече ка СВ2 портовима кроз магистралну линију када то није потребно. То јест, саобраћај Лаптоп0 треба да стигне до СВ1, а затим до рачунара на ВЛАН20, али не би требало да иде даље од десног трунк порта СВ1. Ово се може постићи коришћењем ВТП обрезивања.
Да бисмо то урадили, потребно је да одемо до подешавања ВТП сервера СВ0, јер као што сам већ рекао, ВТП подешавања се могу извршити само преко сервера, идите на подешавања глобалне конфигурације и укуцајте команду втп прунинг. Пошто је Пацкет Трацер само програм за симулацију, не постоји таква команда у његовим промпту командне линије. Међутим, када откуцам втп прунинг и притиснем Ентер, систем ми каже да режим втп обрезивања није доступан.
Користећи команду схов втп статус, видећемо да је режим ВТП обрезивања у онемогућеном стању, тако да морамо да га учинимо доступним тако што ћемо га померити на позицију за омогућавање. Након што смо ово урадили, активирамо режим ВТП Прунинг на сва три прекидача наше мреже унутар мрежног домена.
Дозволите ми да вас подсетим шта је ВТП обрезивање. Када омогућимо овај режим, свитцх сервер СВ0 обавештава прекидач СВ2 да је само ВЛАН10 конфигурисан на његовим портовима. Након тога, прекидач СВ2 говори прекидачу СВ1 да му није потребан никакав други саобраћај осим саобраћаја намењеног ВЛАН10. Сада, захваљујући ВТП Прунинг, прекидач СВ1 има информацију да не треба да шаље ВЛАН20 саобраћај дуж СВ1-СВ2 транк-а.
Ово је веома згодно за вас као мрежног администратора. Не морате ручно да уносите команде јер је прекидач довољно паметан да пошаље тачно оно што је потребно одређеном мрежном уређају. Ако сутра поставите друго маркетиншко одељење у суседну зграду и повежете његову ВЛАН20 мрежу са прекидачем СВ2, тај прекидач ће одмах рећи комутатору СВ1 да сада има ВЛАН10 и ВЛАН20 и тражи од њега да проследи саобраћај за обе мреже. Ове информације се стално ажурирају на свим уређајима, чинећи комуникацију ефикаснијом.
Постоји још један начин да се одреди пренос саобраћаја - ово је употреба команде која дозвољава пренос података само за наведени ВЛАН. Одем у подешавања свитцх СВ1, где ме занима порт Фа0/4, и унесем команде инт фа0/4 и свитцхпорт трунк дозвољен влан. Пошто већ знам да СВ2 има само ВЛАН10, могу рећи СВ1 да дозволи само саобраћај за ту мрежу на свом трунк порту користећи дозвољену влан команду. Зато сам програмирао трунк порт Фа0/4 да преноси саобраћај само за ВЛАН10. То значи да овај порт неће дозволити даљи саобраћај са ВЛАН1, ВЛАН20 или било које друге мреже осим наведене.
Можда се питате шта је боље користити: ВТП обрезивање или дозвољену влан команду. Одговор је субјективан јер у неким случајевима има смисла користити први метод, ау другима други. Као мрежни администратор, на вама је да изаберете најбоље решење. У неким случајевима, одлука да се порт програмира да дозволи саобраћај са одређеног ВЛАН-а може бити добра, али у другим може бити лоша. У случају наше мреже, коришћење дозвољене влан команде може бити оправдано ако нећемо да мењамо топологију мреже. Али ако неко касније жели да дода групу уређаја који користе ВЛАН2 у СВ 20, било би препоручљивије да користи режим ВТП обрезивања.
Дакле, подешавање ВТП обрезивања укључује коришћење следећих команди. Команда втп прунинг омогућава аутоматску употребу овог режима. Ако желите да конфигуришете ВТП одстрањивање трунк порта да бисте дозволили да саобраћај одређеног ВЛАН-а прође ручно, онда користите команду да изаберете интерфејс за број порта магистралног порта <#>, омогућите трунк режим свитцхпорт режима транк и дозволите пренос саобраћаја на одређену мрежу користећи команду свитцхпорт трунк дозвољено влан .
У последњој команди можете користити 5 параметара. Све значи да је пренос саобраћаја за све ВЛАН мреже дозвољен, ниједан – забрањен је пренос саобраћаја за све ВЛАН. Ако користите параметар за додавање, можете додати пропусност саобраћаја за другу мрежу. На пример, дозвољавамо ВЛАН10 саобраћај, а командом адд можемо дозволити и пролаз ВЛАН20 саобраћаја. Команда ремове вам омогућава да уклоните једну од мрежа, на пример, ако користите параметар ремове 20, остаће само ВЛАН10 саобраћај.
Сада погледајмо изворни ВЛАН. Већ смо рекли да је изворни ВЛАН виртуелна мрежа за пропуштање неозначеног саобраћаја кроз одређени трунк порт.
Улазим у одређена подешавања порта као што је назначено у заглављу командне линије СВ(цонфиг-иф)# и користим команду свитцхпорт трунк нативе влан <број мреже>, на пример ВЛАН10. Сада ће сав саобраћај на ВЛАН10 ићи кроз неозначени транк.
Вратимо се топологији логичке мреже у прозору Пацкет Трацер. Ако користим команду свитцхпорт трунк нативе влан 20 на порту прекидача Фа0/4, онда ће сав саобраћај на ВЛАН20 тећи кроз Фа0/4 – СВ2 трунк неозначен. Када прекидач СВ2 прими овај саобраћај, помислиће: „ово је неозначени саобраћај, што значи да би требало да га усмерим на изворни ВЛАН.“ За овај прекидач, изворни ВЛАН је ВЛАН1 мрежа. Мреже 1 и 20 нису повезане ни на који начин, али пошто се користи изворни ВЛАН режим, имамо прилику да усмеримо ВЛАН20 саобраћај на потпуно другу мрежу. Међутим, овај саобраћај ће бити некапсулиран, а саме мреже и даље морају да се подударају.
Погледајмо ово на примеру. Ући ћу у подешавања СВ1 и користити команду свитцхпорт трунк нативе влан 10. Сада ће сваки ВЛАН10 саобраћај изаћи из трунк порта неозначен. Када достигне трунк порт СВ2, комутатор ће разумети да га мора проследити на ВЛАН1. Као резултат ове одлуке, саобраћај неће моћи да стигне до рачунара ПЦ2, 3 и 4, јер су они повезани на комутаторске приступне портове намењене ВЛАН10.
Технички, ово ће довести до тога да систем пријави да изворни ВЛАН порта Фа0/4, који је део ВЛАН10, не одговара порту Фа0/1, који је део ВЛАН1. То значи да наведени портови неће моћи да раде у трунк режиму због неусклађености изворног ВЛАН-а.
Хвала вам што сте остали са нама. Да ли вам се свиђају наши чланци? Желите да видите још занимљивијег садржаја? Подржите нас тако што ћете наручити или препоручити пријатељима, 30% попуста за кориснике Хабра на јединствени аналог сервера почетног нивоа, који смо ми измислили за вас: (доступно са РАИД1 и РАИД10, до 24 језгра и до 40 ГБ ДДР4).
Делл Р730кд 2 пута јефтинији? Само овде у Холандији! Делл Р420 - 2к Е5-2430 2.2Гхз 6Ц 128ГБ ДДР3 2к960ГБ ССД 1Гбпс 100ТБ - од 99 долара! Читали о
Извор: ввв.хабр.цом