Сьогодні ми розглянемо динамічний протокол транкінгу DTP та VTP – протокол транкінгу VLAN. Як я говорив на останньому уроці, ми будемо дотримуватися тем екзамену ICND2 у тому порядку, в якому вони наведені на сайті Cisco.
Минулого разу ми розглянули пункт 1.1, а сьогодні розглянемо 1.2 – налаштування, перевірка та неполадки з'єднань мережних комутаторів: додавання та видалення VLAN з транку та протоколи DTP та VTP версії 1 та 2.
Усі порти світильника "з коробки" за замовчуванням налаштовані на використання режиму Dynamic Auto протоколу DTP. Це означає, що при з'єднанні двох портів різних свитків між ними автоматично включається транк, якщо один із портів знаходиться в режимі trunk або desirable. Якщо порти обох свитків перебувають у режимі Dynamic Auto, транк не утвориться.
Таким чином, все залежить від налаштування режимів роботи кожного з 2 світильників. Для зручності розуміння зробив таблицю можливих комбінацій режимів DTP двох світчів. Ви бачите, що якщо обидва світильники використовують Dynamic Auto, то вони не утворюють транк, а залишаться в режимі Access. Тому якщо ви хочете, щоб між двома свитчами був створений транк, то повинні запрограмувати хоча б один із свитків на режим Trunk або запрограмувати транк-порт на використання режиму Dynamic Desirable. Як видно з таблиці, кожен із портів світчу може перебувати в одному з 4-х режимів: Access, Dynamic Auto, Dynamic Desirable або Trunk.
Якщо обидва порти налаштовані на Access, з'єднані світильники будуть використовувати режим Access. Якщо один порт налаштовано на Dynamic Auto, а інший на Access, обидва працюватимуть у режимі Access. Якщо один порт працює в режимі Access, а інший в режимі Trunk, з'єднати свитчі не вийде, тому не можна використовувати таку комбінацію режимів.
Отже, для роботи транкінгу необхідно, щоб один із портів свитчів був запрограмований на Trunk, а інший на Trunk, Dynamic Auto або Dynamic Desirable. Транк утворюється також у випадку, якщо обидва порти налаштовані на Dynamic Desirable.
Різниця між Dynamic Desirable і Dynamic Auto полягає в тому, що в першому режимі порт сам ініціює транк, надсилаючи DTP-фрейми порту другого світчу. У другому режимі порт свитчу чекає, поки хтось не почнемо з ним спілкуватися, і якщо порти обох свитків налаштовані на Dynamic Auto, між ними ніколи не утвориться транк. У випадку Dynamic Desirable є обернена ситуація - якщо обидва порти налаштовані на цей режим, між ними обов'язково утвориться транк.
Я раджу вам запам'ятати цю таблицю, оскільки вона допоможе вам правильно налаштувати свитчі, з'єднані один з одним. Давайте розглянемо цей аспект у програмі Packet Tracer. Я послідовно з'єднав разом 3 світильники і зараз відобразю на екрані вікна консолей CLI для кожного з цих пристроїв.
Якщо я введу команду show int trunk, ми не побачимо ніякого транка, що цілком природно за відсутності необхідних налаштувань, тому що всі світильники налаштовані на режим Dynamic Auto. Якщо я попрошу показати параметри інтерфейсу f0/1 середнього світильника, ви побачите, що в режимі адміністративних налаштувань значиться параметр dynamic auto.
Аналогічні налаштування є у третього і першого світчу - у них також порт f0/1 знаходиться в режимі dynamic auto. Якщо ви пам'ятаєте таблицю, для транкінгу всі порти повинні бути в режимі trunk або один з портів повинен бути в режимі Dynamic Desirable.
Давайте зайдемо в налаштування першого світчу SW0 і налаштуємо порт f0/1. Після введення команди switchport mode система видасть підказки можливих параметрів режиму: access, dynamic або trunk. Я використовую команду switchport mode dynamic desirable, при цьому ви можете помітити, як транк-порт f0/1 другого світчу після введення цієї команди спочатку перейшов у стан down, а потім після отримання кадру DTP першого світчу перейшов у стан up.
Якщо тепер в консолі CLI свитча SW1 ввести команду show int trunk, ми побачимо, що порт f0/1 перебуває у стані транкінгу. Я вводжу ту саму команду в консолі світчу SW1 і бачу ту ж інформацію, тобто тепер між свитчами SW0 і SW1 встановлено транк. При цьому порт першого світильника знаходиться в режимі desirable, а порт другого - в режимі auto.
Між другим і третім світчем зв'язок відсутній, тому я переходжу в налаштування третього світчу і вводжу команду switchport mode dynamic desirable. Ви бачите, що в другому світчі відбулися ті ж зміни стану down-up, тільки тепер вони стосуються порту f0/2, до якого приєднано 3 світильники. Тепер другий свитч має два транки: один на інтерфейсі f0/1, другий на f0/2. Це можна побачити, якщо використати команду show int trunk.
Обидва порти другого світильника знаходяться в стані auto, тобто для транкінгу з сусідніми свитчами необхідно, щоб їхні порти були в режимі trunk або desirable, тому що в цьому випадку існує лише 2 режими установки транка. За допомогою таблиці ви завжди можете налаштувати порти свитків таким чином, щоб організувати між ними транк. Ось у чому полягає суть використання динамічного протоколу транкінгу DTP.
Давайте приступимо до розгляду протоколу транкінгу VLAN, або VTP. Цей протокол забезпечує синхронізацію баз даних VLAN різних мережних пристроїв, здійснюючи перенесення оновленої бази VLAN з одного пристрою на інший. Повернемося до нашої схеми із 3-х світчів. VTP може працювати у трьох режимах: server, client і transparent. VTP v3 має ще один режим під назвою Off, однак у тематиці іспиту Cisco розглядається лише VTP першої та другої версій.
Режим Server використовується для створення нових VLAN, видалення або зміни мереж через командний рядок світчу. У режимі клієнта ніяких операцій над VLAN здійснити не можна, у цьому режимі відбувається лише оновлення бази даних VLAN із сервера. Режим transparent діє так, начебто протокол VTP вимкнено, тобто свитч не видає власних повідомлень VTP, але передає оновлення від інших свитчів – якщо оновлення надійшло на один із портів світчу, він пропускає його через себе і відправляє далі через мережу через інший порт . У прозорому режимі світильник просто служить передавачем чужих повідомлень, не оновлюючи власну базу даних VLAN.
На цьому слайді ви бачите команди параметрів протоколу VTP, які вводяться у режимі глобальної конфігурації. Першою командою можна змінити версію протоколу, що використовується. Друга команда вибирає режим роботи VTP.
Якщо ви бажаєте створити VTP-домен, використовується команда vtp domain <ім'я домену>, а для встановлення пароля VTP потрібно ввести команду vtp password <ПАРОЛЬ>. Перейдемо до консолі CLI першого світчу та подивимося на стан VTP, ввівши команду show vtp status.
Ви бачите версію протоколу VTP – друга, максимальна кількість підтримуваних VLAN – 255, кількість існуючих VLAN – 5 та режим роботи VLAN – сервер. Все це параметри за промовчанням. Ми вже обговорювали VTP на уроці «День 30», тому якщо ви щось забули, можете повернутися і переглянути це відео ще раз.
Щоб побачити базу даних VLAN, я вводжу команду show vlan brief. Тут показані VLAN1 та VLAN1002-1005. До першої мережі за замовчуванням підключено всі вільні інтерфейси світчу – 23 порти Fast Ethernet та 2 порти Gigabit Ethernet, решта 4 VLAN не підтримуються. Бази даних VLAN двох інших свитчів виглядають так само, за винятком того, що у SW1 вільними для VLAN залишилися не 23, а 22 порту Fast Ethernet, оскільки f0/1 і f0/2 зайняті під транки. Ще раз нагадаю те, що йшлося на уроці «День 30» — протокол VTP підтримує лише оновлення баз даних VLAN.
Якщо я настрою кілька портів на роботу з мережами VLAN з командами switchport access і switchport mode access VLAN10, VLAN20 або VLAN30, конфігурація цих портів не буде реплікована за допомогою VTP, тому що VTP оновлює лише базу даних VLAN.
Так, якщо один із портів SW1 буде налаштований на роботу з VLAN20, але цієї мережі не буде в базі даних VLAN, то порт буде вимкнено. У свою чергу оновлення баз даних відбувається тільки при використанні протоколу VTP.
За допомогою команди show vtp status я бачу, що всі 3 світи зараз знаходяться в режимі server. Я переведу середній світильник SW1 у прозорий режим командою vtp mode transparent, а третій світильник SW2 – в режим клієнта командою vtp mode client.
Тепер повернемося до першого світчу SW0 та створимо домен nwking.org за допомогою команди vtp domain <ім'я домену>. Якщо тепер подивитися на стан VTP другого світа, що знаходиться в прозорому режимі, видно, що він ніяк не відреагував на створення домену – поле VTP Domain Name залишилося пустим. Однак третій світик, що знаходиться в режимі клієнта, оновив свою базу даних і у нього з'явилося доменне ім'я VTP-nwking.org. Таким чином, оновлення бази даних світчу SW0 пройшло крізь SW1 і відбилося на SW2.
Тепер я спробую змінити дане ім'я, для чого зайду в налаштування SW0 і наберу команду vtp domain NetworKing. Як бачимо, цього разу оновлення не відбулося – ім'я домену VTP на третьому світчі залишилося незмінним. Справа в тому, що таке оновлення доменного імені відбувається лише 1 раз, коли змінюється домен за замовчуванням. Якщо після цього доменне ім'я VTP змінюється вкотре, інших свитчах його потрібно змінити вручну.
Зараз я створю в консолі CLI першого світа нову мережу VLAN100 і назву її ім'ям IMRAN. Вона з'явилася в базі даних VLAN першого освітлення, але не з'явилася в базі даних третього освітлення, тому що це різні домени. Запам'ятайте, що оновлення бази даних VLAN відбувається лише в тому випадку, якщо обидва сувені мають однаковий домен, або, як я показав раніше, нове доменне ім'я встановлюється замість імені за промовчанням.
Я заходжу в налаштування 3 світильника і послідовно вводжу команди vtp mode та vtp domain NetworKing. Зверніть увагу, що введення імені чутливе до регістру, тому написання імені домену має повністю збігатися для обох свитків. Зараз я знову перекладаю SW2 у режим клієнта за допомогою команди vtp mode client. Погляньмо, що станеться. Як бачите, тепер, при збігу імені домену, база даних SW2 оновилася і в ній з'явилася нова мережа VLAN100 IMRAN, причому ці зміни не позначилися на середньому світчі, тому що він знаходиться в режимі transparent.
Якщо ви хочете захиститися від несанкціонованого доступу, можете створити пароль VTP. При цьому ви повинні бути впевнені, що пристрій з іншого боку буде мати такий самий пароль, тому що тільки в цьому випадку він зможе приймати оновлення VTP.
Наступне, що ми розглянемо – це VTP pruning, або «обрізання» VLAN, що не використовуються. Якщо у мережі є 100 пристроїв, які використовують протокол VTP, оновлення бази даних VLAN одного пристрою автоматично буде репліковано на інших 99 пристроях. Однак не всі пристрої мають згадані в оновленні мережі VLAN, тому інформація про них може бути не потрібна.
Розсилання оновлень бази даних VLAN пристроїв, що використовують VTP, означає, що всі порти всіх пристроїв отримають інформацію про додані, віддалені та змінені VLAN, до яких вони можуть не мати жодного відношення. У цьому мережа забивається зайвим трафіком. Щоб цього не відбувалося, використовується концепція обрізки VTP. Для того, щоб увімкнути на свитку режим «обрізання» неактуальних VLAN, використовується команда vtp pruning. Після цього світильники автоматично повідомлятимуть один одному про те, які VLAN вони фактично використовують, тим самим попереджаючи сусідів, що їм не потрібно надсилати оновлення мереж, які до них не приєднані.
Наприклад, якщо SW2 не має портів VLAN10, йому не потрібно, щоб SW1 надсилав йому трафік для цієї мережі. У той же час свитч SW1 потребує трафіку VLAN10, тому що один з його портів приєднаний до цієї мережі, просто йому не потрібно надсилати цей трафік свитчу SW2.
Тому, якщо SW2 використовує режим vtp pruning, він повідомляє SW1: будь ласка, не надсилайте мені трафік для VLAN10, тому що ця мережа до мене не приєднана і не один з моїх портів не налаштований на роботу з цією мережею. Ось що дає використання команди vtp pruning.
Існує ще один спосіб фільтрації трафіку для конкретного інтерфейсу. Він дозволяє налаштувати порт на транк із конкретною мережею VLAN. Недоліком такого способу є необхідність ручного настроювання кожного порту транка, якому потрібно вказати, які VLAN дозволені, а які заборонені. Для цього використовується послідовність трьох команд. Перша вказує інтерфейс, якого стосуються ці обмеження, друга перетворює цей інтерфейс на транк-порт, а третя — switchport trunk allowed vlan — показує, яка VLAN дозволена на даному порту: все, ні однієї, що додається VLAN або VLAN, що видаляється.
Залежно від конкретної ситуації, ви вибираєте, що використовувати: VTP pruning або Trunk allowed. Деякі організації вважають за краще не користуватися VTP з міркувань безпеки, тому вибирають ручне налаштування транкінгу. Оскільки команда vtp pruning не працює у Packet Tracer, я покажу її в емуляторі GNS3.
Якщо ви зайдете в налаштування SW2 і введете команду vtp pruning, система відразу повідомить, що цей режим увімкнений: Pruning switched on, тобто «обрізання» VLAN включається лише однією командою.
Якщо набрати команду show vtp status ми побачимо, що режим vtp pruning дозволений.
Якщо ви налаштовуєте цей режим на свитче-сервері, заходьте в його налаштування і вводите команду vtp pruning. Це означає, що підключені до сервера пристрої автоматично використовувати vtp pruning, щоб мінімізувати трафік транкінгу для неактуальних VLAN.
Якщо ви не хочете використовувати цей режим, то повинні увійти в конкретний інтерфейс, наприклад, e0/0, а потім набрати команду switchport trunk allowed vlan. Система видасть вам підказки можливих параметрів цієї команди:
- WORD - номер VLAN, яка буде дозволена на даному інтерфейсі в режимі транка;
— add — VLAN, яку потрібно додати до бази даних VLAN;
- all - дозволити всі VLAN;
- except - дозволити всі VLAN, крім зазначених;
- none - заборонити всі VLAN;
— remove – видалити VLAN зі списку бази даних VLAN.
Наприклад, якщо у нас дозволено транк для VLAN10 і ми хочемо дозволити його для мережі VLAN20, потрібно ввести команду switchport trunk allowed vlan add 20.
Я хочу показати вам ще щось, тому використовую команду show interface trunk. Зверніть увагу, що за умовчанням для транка були дозволені всі VLAN 1-1005, а тепер до них додалася ще VLAN10.
Якщо я використовую команду switchport trunk allowed vlan add 20 і знову попрошу показати статус транкінгу, ми побачимо, що тепер для транку дозволено дві мережі – VLAN10 та VLAN20.
При цьому жодний інший трафік, крім призначеного для зазначених мереж, не зможе проходити через цей транк. Дозволивши трафік лише для VLAN 10 та VLAN 20, ми заборонили трафік для всіх інших VLAN. Ось як можна вручну налаштувати параметри транкінгу для конкретної VLAN на конкретному інтерфейсі освітлення.
Зверніть увагу, що до кінця дня 17 листопада 2017 року у нас на сайті діє 90% знижка на вартість завантаження лабораторної роботи на цю тему.
Дякую за увагу і до зустрічі на наступному відеоуроці!
Дякую, що залишаєтеся з нами. Вам подобаються наші статті? Бажаєте бачити більше цікавих матеріалів? Підтримайте нас, оформивши замовлення або порекомендувавши знайомим, 30% знижка для користувачів Хабра на унікальний аналог entry-level серверів, який був винайдений нами для Вас: (Доступні варіанти з RAID1 і RAID10, до 24 ядер і до 40GB DDR4).
Dell R730xd у 2 рази дешевше? Тільки в нас у Нідерландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – від $99! Читайте про те
Джерело: habr.com