Idag ska vi titta på det dynamiska trunkingprotokollet DTP och VTP - VLAN trunkingprotokoll. Som jag sa i förra lektionen kommer vi att följa ICND2-examensämnena i den ordning de är listade på Ciscos webbplats.
Förra gången tittade vi på punkt 1.1, och idag ska vi titta på 1.2 - konfigurera, kontrollera och felsöka nätverksväxelanslutningar: lägga till och ta bort VLAN från trunk och DTP- och VTP-protokoll version 1 och 2.
Alla switchportar ur förpackningen är konfigurerade som standard för att använda Dynamic Auto-läget för DTP-protokollet. Detta innebär att när två portar med olika switchar är anslutna, slås en trunk på automatiskt mellan dem om en av portarna är i trunk- eller önskvärt läge. Om portarna på båda switcharna är i Dynamic Auto-läge bildas inte trunk.
Allt beror alltså på att ställa in driftslägena för var och en av de 2 omkopplarna. För att underlätta förståelsen gjorde jag en tabell över möjliga kombinationer av DTP-lägen för två switchar. Du ser att om båda switcharna använder Dynamic Auto kommer de inte att bilda en trunk, utan förblir i åtkomstläge. Därför, om du vill att en trunk ska skapas mellan två switchar måste du programmera minst en av switcharna till Trunk-läget, eller programmera trunkporten att använda Dynamic Desirable-läget. Som framgår av tabellen kan var och en av switchportarna vara i ett av fyra lägen: Access, Dynamic Auto, Dynamic Desirable eller Trunk.
Om båda portarna är konfigurerade för Access kommer de anslutna switcharna att använda Access-läge. Om en port är konfigurerad för Dynamic Auto och den andra för Access, kommer båda att fungera i Access-läge. Om en port fungerar i Access-läge och den andra i Trunk-läge, kommer det inte att vara möjligt att ansluta switcharna, så denna kombination av lägen kan inte användas.
Så för att trunking ska fungera är det nödvändigt att en av switchportarna är programmerade för Trunk och den andra för Trunk, Dynamic Auto eller Dynamic Desirable. En trunk bildas också om båda portarna är konfigurerade till Dynamic Desirable.
Skillnaden mellan Dynamic Desirable och Dynamic Auto är att i det första läget initierar porten själva trunkledningen och skickar DTP-ramar till porten på den andra switchen. I det andra läget väntar switchporten tills någon börjar kommunicera med den, och om portarna på båda switcharna är konfigurerade till Dynamic Auto bildas aldrig en trunk mellan dem. När det gäller Dynamic Desirable är situationen den motsatta - om båda portarna är konfigurerade för detta läge kommer en trunk nödvändigtvis att bildas mellan dem.
Jag råder dig att komma ihåg den här tabellen, eftersom den hjälper dig att korrekt konfigurera omkopplarna som är anslutna till varandra. Låt oss titta på denna aspekt i Packet Tracer-programmet. Jag kopplade ihop 3 switchar i serie och kommer nu att visa CLI-konsolfönstren för var och en av dessa enheter på skärmen.
Om jag skriver in kommandot show int trunk kommer vi inte att se någon trunk, vilket är helt naturligt i avsaknad av nödvändiga inställningar, eftersom alla switchar är konfigurerade för Dynamic Auto-läge. Om jag ber om att visa f0/1-gränssnittsparametrarna för mittenomkopplaren, kommer du att se att den dynamiska autoparametern listas i läget för administrativa inställningar.
Den tredje och första switchen har liknande inställningar - de har också port f0/1 i dynamiskt autoläge. Om du kommer ihåg tabellen, för trunkning måste alla portar vara i trunkläge eller så måste en av portarna vara i Dynamic Desirable-läge.
Låt oss gå in på inställningarna för den första switchen SW0 och konfigurera port f0/1. Efter att ha angett kommandot switchport mode kommer systemet att fråga dig om möjliga lägesparametrar: åtkomst, dynamisk eller trunk. Jag använder det dynamiska önskvärda kommandot switchport mode, och du kan märka hur trunkport f0/1 på den andra switchen, efter att ha angett detta kommando, först gick in i nedläge och sedan, efter att ha mottagit DTP-ramen för den första switchen, gick in i upptillståndet.
Om vi nu anger kommandot show int trunk i CLI-konsolen på switch SW1, kommer vi att se att port f0/1 är i trunking-tillstånd. Jag anger samma kommando i konsolen för switch SW1 och ser samma information, det vill säga nu är en trunk installerad mellan switcharna SW0 och SW1. I det här fallet är porten på den första switchen i önskvärt läge och porten på den andra är i autoläge.
Det finns ingen koppling mellan den andra och tredje switchen, så jag går till inställningarna för den tredje switchen och går in i kommandot switchport-läge dynamiskt önskvärt. Du ser att i den andra switchen inträffade samma ned-upp-tillståndsförändringar, först nu rör de port f0/2, till vilken switch 3 är ansluten. Nu har den andra switchen två trunkar: en på gränssnittet f0/1, den andra på f0/2. Detta kan ses om du använder kommandot show int trunk.
Båda portarna på den andra switchen är i autotillståndet, det vill säga för trunkning med angränsande switchar måste deras portar vara i trunk eller önskvärt läge, eftersom det i det här fallet bara finns två lägen för att etablera en trunk. Med hjälp av tabellen kan du alltid konfigurera switchportar på ett sådant sätt att du organiserar en trunk mellan dem. Detta är kärnan i att använda det dynamiska trunkingprotokollet DTP.
Låt oss börja titta på VLAN trunking-protokollet, eller VTP. Detta protokoll säkerställer synkronisering av VLAN-databaser för olika nätverksenheter, vilket utför överföringen av den uppdaterade VLAN-databasen från en enhet till en annan. Låt oss återgå till vår krets med 3 omkopplare. VTP kan fungera i 3 lägen: server, klient och transparent. VTP v3 har ett annat läge som kallas Av, men Cisco-provet täcker endast VTP-versionerna XNUMX och XNUMX.
Serverläge används för att skapa nya VLAN, ta bort eller ändra nätverk via kommandoraden för switch. I klientläge kan inga operationer utföras på VLAN, i detta läge uppdateras endast VLAN-databasen från servern. Det transparenta läget fungerar som om VTP-protokollet är inaktiverat, det vill säga switchen utfärdar inte sina egna VTP-meddelanden, utan sänder uppdateringar från andra switchar - om en uppdatering kommer till en av switchportarna skickar den den genom sig själv och skickar den vidare över nätverket genom en annan port. I transparent läge fungerar switchen helt enkelt som en sändare av andras meddelanden utan att uppdatera sin egen VLAN-databas.
På den här bilden ser du VTP-protokollkonfigurationskommandon inmatade i globalt konfigurationsläge. Det första kommandot kan ändra protokollversionen som används. Det andra kommandot väljer VTP-driftsläget.
Om du vill skapa en VTP-domän, använd kommandot vtp-domän <domännamn>, och för att ställa in VTP-lösenordet måste du ange kommandot vtp-lösenord <PASSWORD>. Låt oss gå till CLI-konsolen för den första switchen och titta på VTP-statusen genom att ange kommandot show vtp status.
Du ser att VTP-protokollversionen är den andra, det maximala antalet VLAN som stöds är 255, antalet befintliga VLAN är 5 och VLAN-driftläget är server. Dessa är alla standardinställningar. Vi diskuterade redan VTP i lektionen dag 30, så om du har glömt något kan du gå tillbaka och titta på den här videon igen.
För att se VLAN-databasen, utfärdar jag kommandot show vlan kort. VLAN1 och VLAN1002-1005 visas här. Som standard är alla fria gränssnitt för switchen anslutna till det första nätverket - 23 Fast Ethernet-portar och 2 Gigabit Ethernet-portar, de återstående 4 VLAN stöds inte. VLAN-databaserna för de andra två switcharna ser exakt likadana ut, förutom att SW1 inte har 23 utan 22 Fast Ethernet-portar lediga för VLAN, eftersom f0/1 och f0/2 är upptagna av trunkar. Låt mig återigen påminna dig om vad som diskuterades i lektionen "Dag 30" - VTP-protokollet stöder endast uppdatering av VLAN-databaser.
Om jag konfigurerar flera portar för att använda VLAN med kommandona VLAN10, VLAN20 eller VLAN30 för switchport-åtkomst och switchport-läge, kommer konfigurationen av dessa portar inte att replikeras av VTP eftersom VTP bara uppdaterar VLAN-databasen.
Så om en av SW1-portarna är konfigurerad att fungera med VLAN20, men detta nätverk inte finns i VLAN-databasen, kommer porten att inaktiveras. Databasuppdateringar sker i sin tur endast när VTP-protokollet används.
Genom att använda kommandot show vtp status ser jag att alla 3 switcharna nu är i serverläge. Jag kommer att växla mellanswitchen SW1 till transparent läge med vtp mode transparent kommandot, och den tredje switchen SW2 till klientläge med vtp mode klientkommandot.
Låt oss nu gå tillbaka till den första switchen SW0 och skapa domänen nwking.org med hjälp av kommandot vtp-domän <domännamn>. Om du nu tittar på VTP-tillståndet för den andra switchen, som är i transparent läge, kan du se att den inte reagerade på något sätt på skapandet av domänen - fältet VTP-domännamn förblev tomt. Den tredje switchen, som är i klientläge, uppdaterade dock sin databas och har nu domännamnet VTP-nwking.org. Således gick uppdateringen av databasen för switch SWO genom SW0 och återspeglades i SW1.
Nu ska jag försöka ändra det angivna domännamnet, för vilket jag går till SW0-inställningarna och skriver kommandot vtp-domän NetworKing. Som du kan se blev det ingen uppdatering den här gången - VTP-domännamnet på den tredje switchen förblev detsamma. Faktum är att en sådan domännamnsuppdatering bara sker en gång, när standarddomänen ändras. Om efter detta VTP-domännamnet ändras igen, kommer det att behöva ändras manuellt på de återstående switcharna.
Nu ska jag skapa ett nytt VLAN100-nätverk i CLI-konsolen på den första switchen och kalla det IMRAN. Det dök upp i VLAN-databasen för den första switchen, men dök inte upp i databasen för den tredje switchen, eftersom dessa är olika domäner. Kom ihåg att uppdatering av VLAN-databasen bara sker om båda switcharna har samma domän, eller, som jag visade tidigare, ett nytt domännamn ställs in istället för standardnamnet.
Jag går in i inställningarna för 3 switchar och går in i vtp-läget och vtp-domänen Networking kommandon. Observera att namninmatningen är skiftlägeskänslig, så stavningen av domännamnet måste vara exakt samma för båda switcharna. Nu sätter jag tillbaka SW2 i klientläge med hjälp av klientkommandot vtp mode. Vi får se vad som händer. Som du kan se, nu, om domännamnet matchar, har SW2-databasen uppdaterats och ett nytt VLAN100 IMRAN-nätverk har dykt upp i den, och dessa ändringar har ingen effekt på den genomsnittliga switchen, eftersom den är i transparent läge.
Om du vill skydda dig mot obehörig åtkomst kan du skapa ett VTP-lösenord. Du måste dock vara säker på att enheten på andra sidan kommer att ha exakt samma lösenord, för endast i detta fall kommer den att kunna acceptera VTP-uppdateringar.
Nästa sak vi kommer att titta på är VTP-beskärning, eller "beskärning" av oanvända VLAN. Om du har 100 enheter i ditt nätverk som använder VTP, kommer VLAN-databasuppdateringen på en enhet automatiskt att replikeras till de andra 99 enheterna. Men inte alla dessa enheter har de VLAN som nämns i uppdateringen, så information om dem kanske inte behövs.
Att skicka VLAN-databasuppdateringar till enheter som använder VTP innebär att alla portar på alla enheter kommer att få information om tillagda, borttagna och ändrade VLAN som de kanske inte har något att göra med. Samtidigt blir nätverket igensatt av överskottstrafik. För att förhindra att detta inträffar används konceptet VTP-trimning. För att aktivera "beskärningsläget" för irrelevanta VLAN på switchen, använd vtp-beskärningskommandot. Switcharna kommer då automatiskt att berätta för varandra vilka VLAN de faktiskt använder, och varnar därmed grannar att de inte behöver skicka uppdateringar till nätverk som inte är anslutna till dem.
Till exempel, om SW2 inte har några VLAN10-portar, behöver den inte SW1 för att skicka trafik för det nätverket. Samtidigt behöver switch SW1 VLAN10-trafik eftersom en av dess portar är ansluten till detta nätverk, den behöver bara inte skicka denna trafik för att switcha SW2.
Så om SW2 använder vtp-beskärningsläge säger den till SW1: "snälla skicka inte trafik till mig för VLAN10 eftersom det här nätverket inte är anslutet till mig och ingen av mina portar är konfigurerade att fungera med detta nätverk." Detta är vad användningen av vtp beskärningskommandot gör.
Det finns ett annat sätt att filtrera trafik för ett specifikt gränssnitt. Det låter dig konfigurera en port på en trunk med ett specifikt VLAN. Nackdelen med denna metod är behovet av att manuellt konfigurera varje trunkport, vilket kommer att behöva specificeras vilka VLAN som är tillåtna och vilka som är förbjudna. För att göra detta används en sekvens av 3 kommandon. Den första indikerar gränssnittet som påverkas av dessa begränsningar, den andra förvandlar detta gränssnitt till en trunkport, och den tredje - switchport trunk tillåten vlan <all/none/add/remove/VLAN number> - visar vilket VLAN som är tillåtet på denna port: alla, ingen, VLAN som ska läggas till eller VLAN som ska raderas.
Beroende på den specifika situationen väljer du vad du ska använda: VTP-beskärning eller Trunk tillåten. Vissa organisationer föredrar att inte använda VTP av säkerhetsskäl, så de väljer att konfigurera trunking manuellt. Eftersom vtp-beskärningskommandot inte fungerar i Packet Tracer kommer jag att visa det i GNS3-emulatorn.
Om du går in i SW2-inställningarna och anger kommandot vtp beskärning kommer systemet omedelbart att rapportera att detta läge är aktiverat: Beskärning påslagen, det vill säga VLAN "beskärning" aktiveras med bara ett kommando.
Om vi skriver kommandot show vtp status kommer vi att se att vtp beskärningsläget är aktiverat.
Om du ställer in det här läget på en switchserver, gå sedan till dess inställningar och ange vtp-beskärningskommandot. Detta innebär att enheter som är anslutna till servern automatiskt kommer att använda vtp-beskärning för att minimera trunking-trafik för irrelevanta VLAN.
Om du inte vill använda det här läget måste du logga in på ett specifikt gränssnitt, till exempel e0/0, och sedan utfärda kommandot switchport trunk allowed vlan. Systemet kommer att ge dig tips om möjliga parametrar för detta kommando:
— WORD — VLAN-nummer som kommer att tillåtas på detta gränssnitt i trunkläge;
— add — VLAN som ska läggas till i VLAN-databaslistan;
— alla — tillåt alla VLAN;
— utom — tillåt alla VLAN utom de specificerade;
— ingen — förbjud alla VLAN;
— ta bort — ta bort ett VLAN från VLAN-databaslistan.
Till exempel, om vi har en trunk tillåten för VLAN10 och vi vill tillåta den för VLAN20-nätverket, måste vi ange kommandot switchport trunk tillåtna vlan add 20.
Jag vill visa dig något annat, så jag använder kommandot show interface trunk. Observera att som standard var alla VLAN 1-1005 tillåtna för trunk, och nu har VLAN10 lagts till dem.
Om jag använder kommandot switchport trunk allowed vlan add 20 och frågar igen för att visa trunkstatusen kan vi se att trunk nu har två tillåtna nätverk - VLAN10 och VLAN20.
I det här fallet kommer ingen annan trafik, förutom den som är avsedd för de specificerade nätverken, att kunna passera genom denna trunk. Genom att endast tillåta trafik för VLAN 10 och VLAN 20, nekade vi trafik för alla andra VLAN. Så här konfigurerar du trunking-inställningar manuellt för ett specifikt VLAN på ett specifikt switchgränssnitt.
Observera att fram till slutet av dagen den 17 november 2017 har vi 90 % rabatt på kostnaden för att ladda ner laborationer om detta ämne på vår hemsida.
Tack för din uppmärksamhet och vi ses i nästa videolektion!
Tack för att du stannar hos oss. Gillar du våra artiklar? Vill du se mer intressant innehåll? Stöd oss genom att lägga en beställning eller rekommendera till vänner, 30 % rabatt för Habr-användare på en unik analog av nybörjarservrar, som uppfanns av oss för dig: (tillgänglig med RAID1 och RAID10, upp till 24 kärnor och upp till 40 GB DDR4).
Dell R730xd 2 gånger billigare? Bara här i Nederländerna! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - från $99! Läs om
Källa: will.com