Сьогодні ми продовжимо розгляд VLAN та обговоримо протокол VTP, а також поняття VTP Pruning та Native VLAN. В одному з попередніх відео ми вже говорили про VTP, і перше, що має прийти на думку, коли ви чуєте про VTP, це те, що він не є протоколом транкінгу, незважаючи на те, що називається «протоколом транкінгу VLAN».
Як ви знаєте, існує два популярні протоколи транкінгу - не використовується сьогодні пропрієтарний протокол Cisco ISL і протокол 802.q, який використовується в мережевих пристроях різних виробників для інкапсуляції транкінг-трафіку. Цей протокол також застосовується у свитках Cisco. Ми вже говорили, що VTP – це протокол синхронізації VLAN, тобто він призначений для синхронізації бази даних VLAN у всіх сетях.
Ми згадували про різні режими VTP – server, client, transparent. Якщо пристрій використовує режим сервера, це дозволяє вносити зміни, додавати або видаляти VLAN. Режим клієнта не дозволяє вносити зміни в налаштування світчу, ви можете налаштувати базу даних VLAN тільки через VTP-сервер, і її буде репліковано на всіх VTP-клієнтах. Світч в режимі transparent не вносить змін до власної бази даних VLAN, а просто пропускає через себе і передає зміни наступному пристрої, що знаходиться в режимі client. Цей режим схожий на відключення протоколу VTP на конкретному пристрої, що перетворює його на транспортника інформації про зміни VLAN.
Повернемося до програми Packet Tracer та до топології мережі, розглянутої на попередньому уроці. Ми налаштували мережу VLAN10 для відділу продажів та мережу VLAN20 відділу маркетингу, об'єднавши їх трьома світильниками.
Між свитчами SW0 і SW1 здійснюється зв'язок мережі VLAN20, а між SW0 і SW2 – зв'язок мережею VLAN10 завдяки тому, що ми додали VLAN10 в базу даних VLAN свитча SW1.
Для того, щоб розглянути роботу протоколу VTP, давайте використовуємо один зі свитків як VTP-сервер, нехай це буде SW0. Якщо ви пам'ятаєте, за промовчанням усі свитчі працюють у режимі VTP-сервера. Зайдемо в термінал командного рядка світчу та введемо команду show vtp status. Ви бачите поточну версію протоколу VTP – 2 та номер ревізії конфігурації 4. Якщо ви пам'ятаєте, щоразу, коли до бази даних VTP вносяться зміни, номер ревізії збільшується на одиницю.
Максимальна кількість VLAN, що підтримуються, дорівнює 255. Це число залежить від марки конкретного освітлення Cisco, оскільки різні свічні можуть підтримувати різну кількість локальних віртуальних мереж. Число існуючих мереж VLAN дорівнює 7, за хвилину ми розглянемо, що це за мережі. Режим керування VTP – сервер, ім'я домену не задано, режим VTP Pruning вимкнено, ми повернемося до цього пізніше. Вимкнено також режими VTP V2 та VTP Traps Generation. Для складання іспиту 200-125 CCNA вам не потрібно знати про останні два режими, так що можете про них не турбуватися.
Погляньмо на базу даних VLAN, для чого використовуємо команду show vlan. Як ми вже бачили в попередньому відео, ми маємо 4 непідтримувані мережі: 1002, 1003, 1004 і 1005.
Тут також перераховані 2 створені нами мережі VLAN10 та 20 та мережа за умовчанням VLAN1. Тепер перейдемо до іншого світчу і введемо таку саму команду, щоб переглянути статус VTP. Ви бачите, що номер ревізії цього свитча дорівнює 3, він знаходиться в режимі VTP-сервера і вся решта інформації аналогічна першому свитчу. Коли я введу команду show VLAN, то побачу, що ми зробили 2 зміни в налаштуваннях, на одне менше, ніж у світчу SW0, ось чому номер ревізії SW1 дорівнює 3. Ми зробили 3 зміни в налаштуваннях за замовчуванням першого світчу, тому його номер ревізії збільшився до 4
Тепер подивимося на статус SW2. Номер ревізії тут дорівнює 1, і це дивно. У нас має бути друга ревізія, тому що було здійснено 1 зміну налаштувань. Погляньмо на базу даних VLAN.
Ми зробили одну зміну, створивши мережу VLAN10, і я не знаю, чому ця інформація не оновилася. Можливо, це сталося через те, що у нас не є справжня мережа, а програмний симулятор мережі, в якому можуть бути помилки. Коли ви зможете працювати з цими пристроями під час практики в підрозділі Cisco, це допоможе вам більше, ніж симулятор Packet Tracer. Ще однією корисною річчю за відсутності реальних пристроїв буде GNC3 або графічний симулятор мережі Cisco. Це емулятор, який використовує цю операційну систему пристрою, наприклад, роутера. Між симулятором та емулятором існує різниця – перший є програмою, яка виглядає як справжній роутер, але не є ним. p align="justify"> Емулятор програмно створює тільки сам пристрій, але для його роботи використовує реальне програмне забезпечення. Але якщо у вас немає можливості працювати з реальним програмним забезпеченням Cisco IOS, найкращим варіантом буде Packet Tracer.
Отже, нам потрібно налаштувати SW0 як VTP-сервер, для цього я заходжу в режим глобальної конфігурації налаштувань та вводжу команду vtp version 2. Як я говорив, ми можемо встановити ту версію протоколу, яка нам потрібна – 1 або 2, у цьому випадку нам потрібна друга версія. Далі командою vtp mode ми задаємо VTP режим світчу - сервер, клієнт або transparent. У разі нам потрібен режим сервера, і після введення команди vtp mode server система видає повідомлення, що пристрій перебуває у режимі сервера. Далі ми повинні налаштувати VTP-домен, навіщо використовуємо команду vtp domain nwking.org. Навіщо це потрібно? Якщо в мережі є інший пристрій з великим номером ревізії, всі інші пристрої з меншим номером починають реплікувати базу даних VLAN з цього пристрою. Однак це відбувається лише в тому випадку, коли пристрої мають однакове доменне ім'я. Наприклад, якщо ви працюєте в nwking.org, ви вказуєте цей домен, якщо Cisco, то домен сisco.com і так далі. Доменне ім'я пристроїв вашої компанії дозволяє відрізнити їх від пристроїв іншої компанії або інших зовнішніх пристроїв мережі. Якщо ви присвоюєте доменне ім'я компанії, то робите його частиною мережі цієї компанії.
Наступне, що потрібно зробити, це встановити пароль VTP. Він потрібний для того, щоб хакер, володіючи пристроєм з великим номером ревізії, не зміг скопіювати свої налаштування VTP на ваш світч. Я вводжу пароль cisco за допомогою команди vtp password cisco. Після цього реплікація даних VTP між свитчами буде можлива лише за збігу паролів. Якщо використовується неправильний пароль, оновлення бази даних VLAN не відбудеться.
Спробуємо створити ще кілька VLAN. Для цього я використовую команду config t, командою vlan 200 створюю мережу під номером 200, надаю їй ім'я TEST і зберігаю зміни командою exit. Потім я створюю ще одну мережу vlan 500 і називаю її TEST1. Якщо зараз ввести команду show vlan, то таблиці віртуальних мереж світчу можна побачити ці дві нові мережі, до яких не приписано жодного порту.
Давайте перейдемо з SW1 і подивимося на його VTP-статус. Ми бачимо, що тут нічого не змінилося, крім імені домену, число мереж VLAN залишилося рівним 7. Ми не бачимо появи створених нами мереж, тому що пароль VTP не збігається. Давайте встановимо пароль VTP на цьому світчі, послідовно ввівши команди conf t, vtp pass і vtp password сisco. Система видала повідомлення, що база даних VLAN пристрою тепер використовує пароль сisco. Ще раз поглянемо на статус VTP, щоб перевірити, чи відбулася реплікація інформації. Як бачите, кількість існуючих VLAN автоматично збільшилася до 9.
Якщо подивитися на базу даних VLAN цього світика, то видно, що в ній автоматично з'явилися створені мережі VLAN200 і VLAN500.
Те саме потрібно зробити з останнім свитчем SW2. Введемо команду show vlan – ви бачите, що в ній не відбулося жодних змін. Аналогічно немає змін у статусі VTP. Для того, щоб цей свитч оновив інформацію, потрібно також налаштувати пароль, тобто ввести самі команди, що і для SW1. Після цього кількість мереж VLAN у статусі SW2 збільшиться до 9.
Ось навіщо потрібен протокол VTP. Це чудова штука, що забезпечує автоматичне оновлення інформації у всіх клієнтських мережних пристроях після внесення змін до пристрою-сервера. Вам не потрібно вручну вносити зміни до бази даних VLAN всіх свитків – реплікація відбувається автоматично. Якщо у вас є 200 мережних пристроїв, внесені зміни одночасно зберігатимуться на всіх двохстах пристроях. Про всяк випадок нам потрібно переконатися, що SW2 також є VTP-клієнтом, тому зайдемо в налаштування командою config t і введемо команду vtp mode client.
Таким чином, в нашій мережі тільки перший світильник знаходиться в режимі VTP Server, два інших працюють в режимі VTP Client. Якщо я зараз увійду в налаштування SW2 і введу команду vlan 1000, то отримаю повідомлення: «налаштування VTP VLAN не дозволено, коли пристрій знаходиться в режимі client». Таким чином, я не можу вносити жодних змін до бази даних VLAN, якщо світильник знаходиться в режимі VTP-клієнта. Якщо я хочу внести якісь зміни, мені потрібно перейти на свитч-сервер.
Я заходжу в налаштування терміналу SW0 та вводжу команди vlan 999, name IMRAN та exit. Ця нова мережа з'явилася в базі даних VLAN цього світика, і якщо я тепер перейду в базу даних свитча-клієнта SW2, то побачу, що тут з'явилася та сама інформація, тобто відбулася реплікація.
Як я сказав, VTP є відмінною частиною програмного забезпечення, але при неправильному використанні цей протокол може порушити роботу цілої мережі. Тому потрібно дуже обережно звертатися з мережею компанії, якщо ім'я домену і пароль VTP не задані. У цьому випадку все, що потрібно хакеру - це вставити кабель свого світчу в розетку на стіні, приєднатися до будь-якого офісного світчу за протоколом DTP і потім, використовуючи створений транк, оновити всю інформацію по протоколу VTP. Так хакер зможе видалити всі важливі мережі VLAN, користуючись тим, що номер ревізії його пристрою вищий за номер ревізії інших свитків. При цьому свити компанії автоматично замінять всю інформацію бази даних VLAN інформацією, реплікованою з шкідливого світчу, і вся ваша мережа впаде.
Це пов'язано з тим, що комп'ютери за допомогою мережного кабелю приєднані до конкретного порту світчу, до якого прив'язана мережа VLAN 10 або VLAN20. Якщо ці мережі будуть видалені з бази даних LAN освітлення, він автоматично відключить порт, що належить неіснуючої мережі. Зазвичай мережа компанії може впасти саме тому, що світчи просто відключать порти, пов'язані з VLAN, які були видалені при черговому оновленні.
Для того, щоб запобігти виникненню такої проблеми, потрібно встановити доменне ім'я та пароль VTP або використовувати функцію Cisco Port Security, яка дозволяє керувати MAC-адресами портів свитчів, вводячи різні обмеження щодо їх використання. Наприклад, якщо хтось сторонній спробує змінити MAC-адресу, порт негайно відключиться. Дуже скоро ми впритул познайомимося з цією функцією комутаторів Cisco, а зараз вам достатньо знати, що Port Security дозволяє переконатися, що VTP захищений від зловмисника.
Підсумуємо, що є налаштування VTP. Це вибір версії протоколу – 1 чи 2, призначення режиму VTP – сервер, клієнт чи transparent. Як я вже сказав, останній режим не оновлює базу даних VLAN пристрою, а просто передає всі зміни сусіднім пристроям. Далі наведені команди для призначення доменного імені та пароля: vtp domain <ім'я домену> та vtp password <пароль>.
Тепер поговоримо про налаштування VTP Pruning. Якщо подивитися на топологію мережі, можна побачити, що всі три свитки мають однакову базу даних VLAN, це означає, що мережі VLAN10 та VLAN20 є частиною всіх 3-х світчів. Технічно світчу SW2 не потрібна мережа VLAN20, тому що у нього немає портів, що належать до цієї мережі. Однак незалежно від цього весь трафік, спрямований з комп'ютера Laptop0 по мережі VLAN20, потрапляє на свитч SW1 і від нього по транку надходить на порти SW2. Ваше основне завдання як мережевого фахівця – зробити так, щоб по мережі передавалося якнайменше зайвих даних. Ви повинні забезпечити передачу необхідних даних, але як обмежити передачу інформації, яка не потрібна цьому пристрою?
Ви повинні переконатися, що трафік, призначений для пристроїв мережі VLAN20, не надходитиме на порти SW2 через транк, коли цього не потрібно. Тобто трафік Laptop0 повинен сягати SW1 і далі до комп'ютерів мережі VLAN20, але не повинен виходити за межі правого транк-порту SW1. Це можна забезпечити за допомогою VTP Pruning.
Для цього нам потрібно зайти в налаштування VTP-сервера SW0, тому що, як я вже говорив, налаштування VTP можна виконувати тільки через сервер, зайти в глобальні налаштування конфігурації та набрати команду vtp pruning. Оскільки Packet Tracer це лише програма-симулятор, у її підказках для командного рядка такої команди немає. Однак, коли я наберу vtp pruning і натисну «Введення», система повідомить, що режим vtp pruning недоступний.
Використовуючи команду show vtp status, ми побачимо, що режим VTP Pruning знаходиться в стані disabled, тому нам потрібно зробити його доступним, перевівши в положення enable. Зробивши це, ми активуємо режим VTP Pruning на всіх трьох свитчах нашої мережі в межах домену.
Дозвольте мені нагадати, що таке VTP Pruning. Коли ми вмикаємо цей режим, свитч-сервер SW0 повідомляє свитчу SW2, що на його портах налаштована лише мережа VLAN10. Після цього світч SW2 повідомляє світчу SW1, що йому не потрібен ніякий трафік крім трафіку, призначеного для мережі VLAN10. Тепер завдяки VTP Pruning свитч SW1 має інформацію, що йому не потрібно надсилати трафік VLAN20 по транку SW1-SW2.
Для вас, як адміністратора мережі, це дуже зручно. Вам не потрібно вручну вводити команди, оскільки свитч досить розумний, щоб надсилати саме те, що потрібно конкретному мережному пристрою. Якщо завтра ви розмістите в сусідньому будинку ще один підрозділ співробітників відділу маркетингу та приєднайте його мережу VLAN20 до світчу SW2, цей світч негайно повідомить світчу SW1, що тепер у нього є мережі VLAN10 і VLAN20, і попросить передавати йому трафік для обох мереж. Ця інформація постійно оновлюється на всіх пристроях, що робить зв'язок ефективнішим.
Є ще один спосіб конкретизувати передачу трафіку – це використовувати команду, яка дозволяє передачу даних лише для зазначеної VLAN. Я заходжу в налаштування світчу SW1, де мене цікавить порт Fa0/4, і вводжу команди int fa0/4 та switchport trunk allowed vlan. Оскільки я вже знаю, що SW2 має лише VLAN10, я можу вказати світчу SW1, щоб його транк-порт пропускав лише трафік для цієї мережі, застосувавши команду allowed vlan. Таким чином, я запрограмував транк-порт Fa0/4 на передачу трафіку лише для VLAN10. Це означає, що цей порт не пропустить далі трафік VLAN1, VLAN20 або іншої мережі, крім зазначеної.
Ви можете запитати, що краще використовувати VTP Pruning або команду allowed vlan. Відповідь має суб'єктивний характер, тому що в деяких випадках є сенс використовувати перший спосіб, а в деяких - другий. Як адміністратор мережі, ви самі маєте вибрати оптимальне рішення. У деяких випадках рішення запрограмувати порт на пропуск трафіку певної VLAN може бути хорошим, а в якихось поганим. У випадку нашої мережі використання команди allowed vlan може бути виправданим, якщо ми не збираємось змінювати топологію мережі. Але якщо хтось надалі захоче додати до SW 2 групу пристроїв, що використовують VLAN20, доцільніше застосувати режим VTP Pruning.
Отже, налаштування VTP Pruning полягає у використанні наступних команд. Команда vtp pruning забезпечує автоматичне використання цього режиму. Якщо ж ви хочете налаштувати VTP Pruning транк-порту на пропуск трафіку певної VLAN вручну, то використовуєте команду вибору номера транк-порту interface <#>, увімкнення режиму транка switchport mode trunk і дозволяєте передачу трафіку конкретної мережі за допомогою команди switchport trunk allowed vlan .
В останній команді можна використовувати 5 параметрів. All означає, що передача трафіку всіх мереж VLAN дозволена, none – передача трафіку для всіх VLAN заборонена. Якщо використовувати параметр add, можна додати пропуск трафіку ще для однієї мережі. Наприклад, у нас дозволено трафік VLAN10, а командою add можна дозволити також пропуск трафіку мережі VLAN20. Команда remove дозволяє видалити одну з мереж, наприклад, якщо використовувати параметр remove 20 залишиться тільки передача трафіку VLAN10.
Тепер розглянемо native VLAN. Ми вже говорили, що native VLAN є віртуальною мережею для пропуску нетегованого трафіку через конкретний транк-порт.
Я заходжу в установки конкретного порту, на що вказує заголовок командного рядка SW(config-if)#, і використовую команду switchport trunk native vlan <номер мережі>, наприклад, VLAN10. Тепер весь трафік мережі VLAN10 проходитиме через транк без тегів.
Повернімося до логічної топології мережі у вікні Packet Tracer. Якщо я використовую команду switchport trunk native vlan 20 для порту свитча Fa0/4, весь трафік мережі VLAN20 проходитиме по транку Fa0/4 – SW2 нетегованим. Коли свитч SW2 отримає цей трафік, то подумає: це нетегований трафік, значить, я повинен направити його в мережу native VLAN. Для цього свічка native VLAN – це мережа VLAN1. Мережі 1 та 20 ніяк не пов'язані, але оскільки використовується режим native VLAN, у нас з'являється можливість направити трафік VLAN20 в іншу мережу. Однак цей трафік буде некапсульованим, а самі мережі все одно мають збігатися.
Давайте розглянемо це з прикладу. Я ввійду в налаштування SW1 і використовую команду switchport trunk native vlan 10. Тепер будь-який трафік VLAN10 виходитиме з транк-порту нетегованим. Коли він досягне транк-порту SW2, світильник зрозуміє, що повинен направити його до VLAN1. Внаслідок такого рішення трафік не зможе досягти комп'ютерів PC2, 3 і 4, оскільки вони підключені до access-портів світчу, призначених для VLAN10.
Технічно це викликає появу повідомлення системи про те, що нативний VLAN порт Fa0/4, який є частиною VLAN10, не збігається з портом Fa0/1, який виступає частиною VLAN1. Це означає, що вказані порти не зможуть працювати в режимі транка через розбіжність native VLAN.
Дякую, що залишаєтеся з нами. Вам подобаються наші статті? Бажаєте бачити більше цікавих матеріалів? Підтримайте нас, оформивши замовлення або порекомендувавши знайомим, 30% знижка для користувачів Хабра на унікальний аналог entry-level серверів, який був винайдений нами для Вас: (Доступні варіанти з RAID1 і RAID10, до 24 ядер і до 40GB DDR4).
Dell R730xd у 2 рази дешевше? Тільки в нас у Нідерландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – від $99! Читайте про те
Джерело: habr.com