Idag kommer vi att fortsätta vår diskussion om VLAN och diskutera VTP-protokollet, såväl som begreppen VTP-beskärning och Native VLAN. Vi har redan pratat om VTP i en av de tidigare videorna, och det första du bör tänka på när du hör om VTP är att det inte är ett trunking-protokoll, trots att det kallas ett "VLAN-trunking-protokoll."
Som ni vet finns det två populära trunking-protokoll - det proprietära Cisco ISL-protokollet, som inte används idag, och 802.q-protokollet, som används i nätverksenheter från olika tillverkare för att kapsla in trunking-trafik. Detta protokoll används också i Cisco-switchar. Vi har redan sagt att VTP är ett VLAN-synkroniseringsprotokoll, det vill säga det är utformat för att synkronisera VLAN-databasen över alla nätverksväxlar.
Vi nämnde olika VTP-lägen - server, klient, transparent. Om enheten använder serverläge kan du göra ändringar, lägga till eller ta bort VLAN. Klientläget tillåter dig inte att göra ändringar i switchinställningarna, du kan konfigurera VLAN-databasen endast via VTP-servern och den kommer att replikeras på alla VTP-klienter. En switch i transparent läge gör inga ändringar i sin egen VLAN-databas, utan går helt enkelt igenom sig själv och överför ändringarna till nästa enhet i klientläge. Detta läge liknar att inaktivera VTP på en specifik enhet, förvandla den till en transportör av VLAN-ändringsinformation.
Låt oss återgå till Packet Tracer-programmet och nätverkstopologin som diskuterades i föregående lektion. Vi konfigurerade ett VLAN10-nätverk för försäljningsavdelningen och ett VLAN20-nätverk för marknadsavdelningen, och kombinerade dem med tre switchar.
Mellan switcharna SW0 och SW1 sker kommunikation över VLAN20-nätverket, och mellan SW0 och SW2 sker kommunikation över VLAN10-nätverket på grund av att vi lagt till VLAN10 till VLAN-databasen för switch SW1.
För att överväga driften av VTP-protokollet, låt oss använda en av switcharna som en VTP-server, låt det vara SW0. Om du kommer ihåg fungerar alla switchar som standard i VTP-serverläge. Låt oss gå till kommandoradsterminalen på switchen och ange kommandot show vtp status. Du ser att den aktuella versionen av VTP-protokollet är 2 och konfigurationsversionsnumret är 4. Om du kommer ihåg, varje gång ändringar görs i VTP-databasen, ökar revisionsnumret med en.
Det maximala antalet VLAN som stöds är 255. Detta antal beror på märket på den specifika Cisco-switchen, eftersom olika switchar kan stödja olika antal lokala virtuella nätverk. Antalet befintliga VLAN är 7, om en minut ska vi titta på vilka dessa nätverk är. VTP-kontrollläge är server, domännamn är inte inställt, VTP-beskärningsläge är inaktiverat, vi återkommer till detta senare. VTP V2 och VTP Traps Generation lägen är också inaktiverade. Du behöver inte känna till de två sista lägena för att klara 200-125 CCNA-examen, så oroa dig inte för dem.
Låt oss ta en titt på VLAN-databasen med kommandot show vlan. Som vi redan såg i föregående video har vi fyra nätverk som inte stöds: 4, 1002, 1003 och 1004.
Den listar också de 2 nätverk vi skapade, VLAN10 och 20, och standardnätverket, VLAN1. Låt oss nu gå vidare till en annan switch och ange samma kommando för att se VTP-statusen. Du ser att versionsnumret för denna switch är 3, den är i VTP-serverläge och all annan information liknar den första switchen. När jag anger kommandot show VLAN kan jag se att vi har gjort 2 ändringar i inställningarna, en mindre än switch SW0, varför revisionsnumret för SW1 är 3. Vi har gjort 3 ändringar av standardinställningarna för den första byta, därför ökade dess revisionsnummer till 4.
Låt oss nu titta på statusen för SW2. Revisionsnumret här är 1, vilket är konstigt. Vi måste ha en andra revision eftersom 1 inställningsändring har gjorts. Låt oss titta på VLAN-databasen.
Vi gjorde en förändring, skapade VLAN10, och jag vet inte varför den informationen inte uppdaterades. Kanske hände detta för att vi inte har ett riktigt nätverk, utan en mjukvarunätverksimulator, som kan ha fel. När du har möjlighet att arbeta med riktiga enheter medan du arbetar hos Cisco, kommer det att hjälpa dig mer än Packet Tracer-simulatorn. En annan användbar sak i avsaknad av riktiga enheter skulle vara GNC3, eller en grafisk Cisco-nätverksimulator. Detta är en emulator som använder det verkliga operativsystemet för en enhet, till exempel en router. Det är skillnad på en simulator och en emulator - den förra är ett program som ser ut som en riktig router, men som inte är en. Emulatormjukvaran skapar bara själva enheten, men använder riktig programvara för att använda den. Men om du inte har möjlighet att köra riktig Cisco IOS-programvara, är Packet Tracer ditt bästa alternativ.
Så vi måste konfigurera SW0 som en VTP-server, för detta går jag in i konfigurationsläget för globala inställningar och anger kommandot vtp version 2. Som jag sa, vi kan installera protokollversionen som vi behöver - 1 eller 2, i denna om vi behöver en andra version. Därefter, med hjälp av kommandot vtp mode, ställer vi in VTP-läget för switchen - server, klient eller transparent. I det här fallet behöver vi serverläge, och efter att ha angett serverkommandot vtp mode visar systemet ett meddelande om att enheten redan är i serverläge. Därefter måste vi konfigurera en VTP-domän, för vilken vi använder kommandot vtp-domän nwking.org. Varför är detta nödvändigt? Om det finns en annan enhet i nätverket med ett högre versionsnummer börjar alla andra enheter med ett lägre versionsnummer replikera VLAN-databasen från den enheten. Detta händer dock bara om enheterna har samma domännamn. Om du till exempel arbetar på nwking.org, anger du denna domän, om du är på Cisco, då domänen cisco.com, och så vidare. Domännamnet på ditt företags enheter gör att du kan skilja dem från enheter från ett annat företag eller från andra externa enheter i nätverket. När du tilldelar ett företags domännamn till en enhet gör du den till en del av företagets nätverk.
Nästa sak att göra är att ställa in VTP-lösenordet. Det behövs så att en hackare som har en enhet med ett högt revisionsnummer inte kan kopiera sina VTP-inställningar till din switch. Jag anger cisco-lösenordet med kommandot vtp password cisco. Efter detta kommer replikering av VTP-data mellan switchar att vara möjlig endast om lösenorden matchar. Om fel lösenord används kommer VLAN-databasen inte att uppdateras.
Låt oss försöka skapa några fler VLAN. För att göra detta använder jag kommandot config t, använder kommandot vlan 200 för att skapa ett nätverksnummer 200, ger det namnet TEST och sparar ändringarna med kommandot exit. Sedan skapar jag en annan vlan 500 och kallar den TEST1. Om du nu anger kommandot show vlan, så kan du i tabellen över virtuella nätverk för switchen se dessa två nya nätverk, som inte en enda port är tilldelad.
Låt oss gå vidare till SW1 och se dess VTP-status. Vi ser att ingenting har förändrats här förutom domännamnet, antalet VLAN förblir lika med 7. Vi ser inte nätverken vi skapade visas eftersom VTP-lösenordet inte matchar. Låt oss ställa in VTP-lösenordet på denna switch genom att sekventiellt ange kommandona conf t, vtp pass och vtp password Cisco. Systemet rapporterade att enhetens VLAN-databas nu använder Cisco-lösenordet. Låt oss ta en ny titt på VTP-statusen för att kontrollera om informationen har replikerats. Som du kan se har antalet befintliga VLAN automatiskt ökat till 9.
Om du tittar på VLAN-databasen för denna switch kan du se att VLAN200- och VLAN500-nätverken vi skapade automatiskt dök upp i den.
Samma sak måste göras med den sista switchen SW2. Låt oss ange kommandot show vlan - du kan se att inga ändringar har skett i det. På samma sätt är det ingen förändring i VTP-statusen. För att denna switch ska uppdatera informationen måste du också ställa in ett lösenord, det vill säga ange samma kommandon som för SW1. Efter detta kommer antalet VLAN i SW2-status att öka till 9.
Det är vad VTP är till för. Detta är en bra sak som automatiskt uppdaterar information i alla klientnätverksenheter efter att ändringar har gjorts på serverenheten. Du behöver inte göra ändringar manuellt i VLAN-databasen för alla switchar - replikering sker automatiskt. Om du har 200 nätverksenheter sparas ändringarna du gör på alla tvåhundra enheter samtidigt. För säkerhets skull måste vi se till att SW2 också är en VTP-klient, så låt oss gå in i inställningarna med kommandot config t och ange klientkommandot vtp mode.
I vårt nätverk är alltså endast den första switchen i VTP-serverläge, de andra två fungerar i VTP-klientläge. Om jag nu går in i SW2-inställningarna och anger vlan 1000-kommandot, kommer jag att få meddelandet: "Att konfigurera VTP VLAN är inte tillåtet när enheten är i klientläge." Jag kan alltså inte göra några ändringar i VLAN-databasen om switchen är i VTP-klientläge. Om jag vill göra några ändringar måste jag gå till switchservern.
Jag går till SW0-terminalinställningarna och anger kommandona vlan 999, namnge IMRAN och avsluta. Detta nya nätverk har dykt upp i VLAN-databasen för denna switch, och om jag nu går till databasen för klientswitchen SW2 kommer jag att se att samma information har dykt upp här, det vill säga replikering har skett.
VTP är som sagt en jättebra mjukvara, men om den används på fel sätt kan den störa ett helt nätverk. Därför måste du vara mycket försiktig när du hanterar företagets nätverk om domännamnet och VTP-lösenordet inte är inställt. I det här fallet behöver hackaren bara ansluta kabeln från sin switch till ett nätverksuttag på väggen, ansluta till valfri kontorsswitch med DTP-protokollet och sedan, med den skapade trunk, uppdatera all information med VTP-protokollet . På så sätt kan en hackare ta bort alla viktiga VLAN och dra fördel av det faktum att revisionsnumret på hans enhet är högre än revisionsnumret för andra switchar. I det här fallet kommer företagets switchar automatiskt att ersätta all VLAN-databasinformation med information som replikeras från den skadliga switchen, och hela ditt nätverk kommer att kollapsa.
Detta beror på att datorer är anslutna med en nätverkskabel till en specifik switchport som VLAN 10 eller VLAN20 är tilldelad. Om dessa nätverk tas bort från switchens LAN-databas kommer den automatiskt att inaktivera porten som tillhör det icke-existerande nätverket. Vanligtvis kan ett företags nätverk kollapsa just på grund av att switcharna helt enkelt inaktiverar portar associerade med VLAN som togs bort under nästa uppdatering.
För att förhindra att ett sådant problem uppstår måste du ställa in ett VTP-domännamn och lösenord eller använda Cisco Port Security-funktionen, som låter dig hantera MAC-adresserna för switchportar och införa olika begränsningar för deras användning. Till exempel, om någon annan försöker ändra MAC-adressen, kommer porten omedelbart att gå ner. Vi kommer att titta närmare på den här funktionen hos Cisco-switchar mycket snart, men för tillfället är allt du behöver veta att Port Security låter dig se till att VTP är skyddat från en angripare.
Låt oss sammanfatta vad en VTP-inställning är. Detta är valet av protokollversion - 1 eller 2, tilldelningen av VTP-läge - server, klient eller transparent. Som jag redan sa uppdaterar det senare läget inte VLAN-databasen för själva enheten, utan överför helt enkelt alla ändringar till närliggande enheter. Följande är kommandon för att tilldela ett domännamn och lösenord: vtp-domän <domännamn> och vtp-lösenord <lösenord>.
Låt oss nu prata om inställningarna för VTP-beskärning. Om man tittar på nätverkstopologin kan man se att alla tre switcharna har samma VLAN-databas, vilket innebär att VLAN10 och VLAN20 ingår i alla tre switcharna. Tekniskt sett behöver switch SW3 inte VLAN2 eftersom den inte har portar som hör till detta nätverk. Men oavsett detta når all trafik som skickas från Laptop20-datorn via VLAN0-nätverket SW20-switchen och går från den via trunk till SW1-portarna. Din huvudsakliga uppgift som nätverksspecialist är att se till att så lite onödig data som möjligt överförs över nätverket. Du måste se till att nödvändig data överförs, men hur kan du begränsa överföringen av information som inte behövs av enheten?
Du måste se till att trafik avsedd för enheter på VLAN20 inte strömmar till SW2-portarna genom trunk när det inte behövs. Dvs Laptop0-trafik ska nå SW1 och sedan till datorer på VLAN20, men ska inte gå längre än till rätt trunkport på SW1. Detta kan uppnås med VTP-beskärning.
För att göra detta måste vi gå till inställningarna för VTP-servern SW0, för som jag redan sa, VTP-inställningar kan bara göras via servern, gå till de globala konfigurationsinställningarna och skriv kommandot vtp pruning. Eftersom Packet Tracer bara är ett simuleringsprogram, finns det inget sådant kommando i dess kommandoradsuppmaningar. Men när jag skriver vtp pruning och trycker på Enter, säger systemet till mig att vtp pruning mode inte är tillgängligt.
Genom att använda kommandot show vtp status kommer vi att se att VTP-beskärningsläget är i avaktiverat läge, så vi måste göra det tillgängligt genom att flytta det till aktiveringsläget. Efter att ha gjort detta aktiverar vi VTP-beskärningsläget på alla tre switchar i vårt nätverk inom nätverksdomänen.
Låt mig påminna dig om vad VTP-beskärning är. När vi aktiverar detta läge informerar switchservern SW0 switch SW2 att endast VLAN10 är konfigurerad på dess portar. Efter detta säger switch SW2 till switch SW1 att den inte behöver någon annan trafik än trafik avsedd för VLAN10. Nu, tack vare VTP-beskärning, har switch SW1 informationen att den inte behöver skicka VLAN20-trafik längs SW1-SW2-trunken.
Detta är mycket bekvämt för dig som nätverksadministratör. Du behöver inte ange kommandon manuellt eftersom switchen är smart nog att skicka exakt vad den specifika nätverksenheten behöver. Om du i morgon sätter en annan marknadsavdelning i nästa byggnad och ansluter dess VLAN20-nätverk till switch SW2, kommer den switchen omedelbart att berätta för switch SW1 att den nu har VLAN10 och VLAN20 och ber den vidarebefordra trafik för båda nätverken. Denna information uppdateras ständigt på alla enheter, vilket gör kommunikationen mer effektiv.
Det finns ett annat sätt att specificera överföringen av trafik - detta är att använda ett kommando som tillåter dataöverföring endast för det angivna VLAN. Jag går till inställningarna för switch SW1, där jag är intresserad av port Fa0/4, och anger kommandona int fa0/4 och switchport trunk allowed vlan. Eftersom jag redan vet att SW2 bara har VLAN10, kan jag säga till SW1 att endast tillåta trafik för det nätverket på dess trunkport genom att använda det tillåtna vlan-kommandot. Så jag programmerade trunkporten Fa0/4 att transportera trafik endast för VLAN10. Detta betyder att denna port inte tillåter trafik från VLAN1, VLAN20 eller något annat nätverk än det angivna.
Du kanske undrar vilket som är bättre att använda: VTP-beskärning eller det tillåtna vlan-kommandot. Svaret är subjektivt eftersom det i vissa fall är vettigt att använda den första metoden, och i andra är det vettigt att använda den andra. Som nätverksadministratör är det upp till dig att välja den bästa lösningen. I vissa fall kan beslutet att programmera en port för att tillåta trafik från ett specifikt VLAN vara bra, men i andra kan det vara dåligt. När det gäller vårt nätverk kan det vara motiverat att använda det tillåtna vlan-kommandot om vi inte ska ändra nätverkstopologin. Men om någon senare vill lägga till en grupp enheter som använder VLAN2 till SW 20, skulle det vara mer lämpligt att använda VTP-beskärningsläget.
Så att ställa in VTP-beskärning innebär att du använder följande kommandon. Kommandot vtp beskärning ger automatisk användning av detta läge. Om du vill konfigurera VTP-beskärning av en trunkport för att tillåta trafik för ett specifikt VLAN att passera manuellt, använd sedan kommandot för att välja trunkportnummergränssnittet <#>, aktivera trunklägesväxelportlägets trunk och tillåt överföring av trafik till ett specifikt nätverk med kommandot switchport trunk allowed vlan .
I det sista kommandot kan du använda 5 parametrar. Alla betyder att trafiköverföring för alla VLAN är tillåten, ingen – trafiköverföring för alla VLAN är förbjuden. Om du använder add-parametern kan du lägga till trafikgenomströmning för ett annat nätverk. Till exempel tillåter vi VLAN10-trafik, och med add-kommandot kan vi även tillåta VLAN20-trafik att passera. Med kommandot remove kan du ta bort ett av nätverken, om du till exempel använder parametern remove 20 kommer endast VLAN10-trafik att finnas kvar.
Låt oss nu titta på det inbyggda VLAN. Vi har redan sagt att native VLAN är ett virtuellt nätverk för att skicka omärkt trafik genom en specifik trunkport.
Jag går in i de specifika portinställningarna som anges av kommandoradshuvudet SW(config-if)# och använder kommandot switchport trunk native vlan <nätverksnummer>, till exempel VLAN10. Nu kommer all trafik på VLAN10 att gå genom den omärkta trunk.
Låt oss återgå till den logiska nätverkstopologin i Packet Tracer-fönstret. Om jag använder kommandot switchport trunk native vlan 20 på switchport Fa0/4 kommer all trafik på VLAN20 att flyta genom Fa0/4 – SW2 trunk otaggad. När switch SW2 tar emot denna trafik kommer den att tänka: "det här är omärkt trafik, vilket betyder att jag bör dirigera den till det inbyggda VLAN." För den här switchen är det ursprungliga VLAN-nätverket VLAN1-nätverket. Nätverk 1 och 20 är inte anslutna på något sätt, men eftersom native VLAN-läge används har vi möjlighet att dirigera VLAN20-trafik till ett helt annat nätverk. Denna trafik kommer dock att vara oinkapslad, och själva nätverken måste fortfarande matcha.
Låt oss titta på detta med ett exempel. Jag går in i SW1:s inställningar och använder kommandot switchport trunk native vlan 10. Nu kommer all VLAN10-trafik att komma ut ur trunkporten omärkt. När den når trunkport SW2 kommer switchen att förstå att den måste vidarebefordra den till VLAN1. Som ett resultat av detta beslut kommer trafik inte att kunna nå datorerna PC2, 3 och 4, eftersom de är anslutna till switchaccessportarna avsedda för VLAN10.
Tekniskt sett kommer detta att få systemet att rapportera att det ursprungliga VLAN för port Fa0/4, som är en del av VLAN10, inte matchar porten Fa0/1, som är en del av VLAN1. Detta innebär att de angivna portarna inte kommer att kunna fungera i trunkläge på grund av en inbyggd VLAN-felmatchning.
Tack för att du stannar hos oss. Gillar du våra artiklar? Vill du se mer intressant innehåll? Stöd oss genom att lägga en beställning eller rekommendera till vänner, 30 % rabatt för Habr-användare på en unik analog av nybörjarservrar, som uppfanns av oss för dig: (tillgänglig med RAID1 och RAID10, upp till 24 kärnor och upp till 40 GB DDR4).
Dell R730xd 2 gånger billigare? Bara här i Nederländerna! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - från $99! Läs om
Källa: will.com