今天我们继续讨论VLAN,讨论VTP协议,以及VTP Pruning和Native VLAN的概念。 我们已经在之前的一个视频中讨论过 VTP,当您听到 VTP 时,您首先想到的应该是它不是中继协议,尽管被称为“VLAN 中继协议”。
如您所知,有两种流行的中继协议:专有的 Cisco ISL 协议(目前尚未使用)和 802.q 协议,该协议在各个制造商的网络设备中用于封装中继流量。 该协议也用于 Cisco 交换机。 我们已经说过,VTP 是一种 VLAN 同步协议,也就是说,它旨在跨所有网络交换机同步 VLAN 数据库。
我们提到了不同的 VTP 模式 - 服务器、客户端、透明。 如果设备使用服务器模式,您可以进行更改、添加或删除 VLAN。 客户端模式不允许您更改交换机设置,您只能通过 VTP 服务器配置 VLAN 数据库,并且它将在所有 VTP 客户端上复制。 透明模式下的交换机不会对其自身的 VLAN 数据库进行更改,而只是简单地通过自身并将更改传输到客户端模式下的下一个设备。 这种模式类似于在特定设备上禁用VTP,将其变成VLAN变更信息的传输者。
让我们回到上一课中讨论的 Packet Tracer 程序和网络拓扑。 我们为销售部门配置了VLAN10网络,为营销部门配置了VLAN20网络,通过三台交换机组合起来。
交换机SW0和SW1之间通过VLAN20网络进行通信,SW0和SW2之间通过VLAN10网络进行通信,因为我们将VLAN10添加到了交换机SW1的VLAN数据库中。
为了考虑VTP协议的运行,我们使用其中一台交换机作为VTP服务器,设其为SW0。 如果您还记得的话,默认情况下所有交换机都在 VTP 服务器模式下运行。 我们进入交换机的命令行终端,输入show vtp status命令。 您会看到当前的 VTP 协议版本为 2,配置修订号为 4。如果您还记得的话,每次对 VTP 数据库进行更改,修订号都会增加 XNUMX。
支持的 VLAN 最大数量为 255。该数量取决于特定 Cisco 交换机的品牌,因为不同的交换机可以支持不同数量的本地虚拟网络。 现有 VLAN 的数量为 7,稍后我们将了解这些网络是什么。 VTP控制模式为服务器,未设置域名,VTP Pruning模式被禁用,我们稍后再讲。 VTP V2 和 VTP 陷阱生成模式也被禁用。 您不需要了解最后两种模式即可通过 200-125 CCNA 考试,因此不必担心它们。
让我们使用 show vlan 命令查看 VLAN 数据库。 正如我们在上一个视频中看到的,我们有 4 个不受支持的网络:1002、1003、1004 和 1005。
它还列出了我们创建的 2 个网络(VLAN10 和 20)以及默认网络 VLAN1。 现在让我们转到另一台交换机并输入相同的命令来查看 VTP 状态。 您会看到该交换机的修订号为 3,它处于 VTP 服务器模式,所有其他信息与第一台交换机类似。 当我输入 show VLAN 命令时,我可以看到我们对设置进行了 2 处更改,比交换机 SW0 少了 1 处,这就是为什么 SW3 的修订号为 3。我们对第一个的默认设置进行了 4 处更改切换,因此其修订号增加到 XNUMX。
现在我们来看看SW2的状态。 这里的修订号是1,这很奇怪。 我们必须进行第二次修订,因为进行了 1 项设置更改。 让我们看一下 VLAN 数据库。
我们进行了一项更改,创建了 VLAN10,但我不知道为什么该信息没有更新。 也许发生这种情况是因为我们没有真正的网络,而是软件网络模拟器,这可能会出现错误。 当您在 Cisco 实习期间有机会使用真实设备时,它比 Packet Tracer 模拟器对您的帮助更大。 在没有真实设备的情况下,另一个有用的东西是 GNC3,或者图形思科网络模拟器。 这是一个使用设备(例如路由器)真实操作系统的模拟器。 模拟器和仿真器之间存在差异 - 前者是一个看起来像真正的路由器的程序,但实际上不是一个。 仿真器软件仅创建设备本身,但使用真实的软件来操作它。 但如果您没有能力运行实际的 Cisco IOS 软件,Packet Tracer 是您的最佳选择。
因此,我们需要将 SW0 配置为 VTP 服务器,为此我进入全局设置配置模式并输入命令 vtp version 2。正如我所说,我们可以安装我们需要的协议版本 - 1 或 2,在此如果我们需要第二个版本。 接下来,使用 vtp mode 命令,我们设置交换机的 VTP 模式 - 服务器、客户端或透明。 在这种情况下,我们需要服务器模式,输入vtp mode server命令后,系统会显示一条消息,表明设备已处于服务器模式。 接下来,我们必须配置一个 VTP 域,为此我们使用 vtp domain nwking.org 命令。 为什么这是必要的? 如果网络上存在具有较高版本号的另一台设备,则具有较低版本号的所有其他设备将开始从该设备复制 VLAN 数据库。 但是,只有当设备具有相同的域名时才会发生这种情况。 例如,如果您在 nwking.org 工作,则指定此域,如果在 Cisco 工作,则指定域 cisco.com,依此类推。 您公司设备的域名可让您将其与其他公司的设备或网络上的任何其他外部设备区分开来。 当您将公司的域名分配给设备时,您就使其成为该公司网络的一部分。
接下来要做的是设置 VTP 密码。 这是必要的,这样拥有高版本号设备的黑客就无法将其 VTP 设置复制到您的交换机。 我使用 vtp 密码 cisco 命令输入 cisco 密码。 此后,仅当密码匹配时,才可以在交换机之间复制 VTP 数据。 如果使用错误的密码,VLAN 数据库将不会更新。
让我们尝试创建更多 VLAN。 为此,我使用 config t 命令,使用 vlan 200 命令创建网络号 200,将其命名为 TEST,并使用 exit 命令保存更改。 然后我创建另一个 vlan 500 并将其命名为 TEST1。 如果您现在输入 show vlan 命令,则在交换机的虚拟网络表中您可以看到这两个新网络,但没有为其分配任何端口。
让我们转到 SW1 并查看其 VTP 状态。 我们看到除了域名之外没有任何变化,VLAN 数量仍然等于 7。我们没有看到我们创建的网络出现,因为 VTP 密码不匹配。 让我们通过依次输入命令conf t、vtp pass 和vtp password Cisco 来设置此交换机上的VTP 密码。 系统报告设备的 VLAN 数据库现在使用 Cisco 密码。 我们再看一下VTP状态,检查信息是否已经复制。 正如您所看到的,现有 VLAN 的数量已自动增加到 9 个。
如果您查看该交换机的 VLAN 数据库,您可以看到我们创建的 VLAN200 和 VLAN500 网络自动出现在其中。
最后一个开关 SW2 也需要做同样的事情。 我们输入show vlan命令——可以看到里面没有发生任何变化。 同样,VTP 状态也没有变化。 为了让该交换机更新信息,还需要设置密码,即输入与SW1相同的命令。 此后,处于 SW2 状态的 VLAN 数量将增加到 9 个。
这就是 VTP 的用途。 这是一件很棒的事情,可以在服务器设备发生更改后自动更新所有客户端网络设备中的信息。 您无需手动更改所有交换机的 VLAN 数据库 - 复制会自动进行。 如果您有 200 台网络设备,您所做的更改将同时保存在所有 2 台设备上。 为了以防万一,我们需要确保 SWXNUMX 也是一个 VTP 客户端,所以让我们使用 config t 命令进入设置并输入 vtp 模式客户端命令。
因此,在我们的网络中,只有第一台交换机处于 VTP 服务器模式,其他两台交换机以 VTP 客户端模式运行。 如果我现在进入 SW2 设置并输入 vlan 1000 命令,我将收到消息:“当设备处于客户端模式时,不允许配置 VTP VLAN。” 因此,如果交换机处于 VTP 客户端模式,我无法对 VLAN 数据库进行任何更改。 如果我想进行任何更改,我需要转到交换机服务器。
我进入 SW0 终端设置并输入命令 vlan 999、名称 IMRAN 并退出。 这个新网络已经出现在这个交换机的VLAN数据库中,如果我现在去客户端交换机SW2的数据库中,我会看到这里出现了相同的信息,即发生了复制。
正如我所说,VTP 是一款很棒的软件,但如果使用不当,它可能会破坏整个网络。 因此,如果没有设置域名和VTP密码,在处理公司网络时需要非常小心。 在这种情况下,黑客所需要做的就是将交换机的电缆插入墙上的网络插座,使用 DTP 协议连接到任何办公室交换机,然后使用创建的中继,使用 VTP 协议更新所有信息。 这样,黑客就可以利用其设备的版本号高于其他交换机的版本号这一事实,删除所有重要的 VLAN。 在这种情况下,公司的交换机将自动用从恶意交换机复制的信息替换所有 VLAN 数据库信息,您的整个网络将崩溃。
这是因为计算机使用网络电缆连接到分配了 VLAN 10 或 VLAN20 的特定交换机端口。 如果这些网络从交换机的 LAN 数据库中删除,则会自动禁用属于不存在网络的端口。 通常情况下,公司的网络可能会崩溃,因为交换机只是禁用了与下次更新期间删除的 VLAN 关联的端口。
为了防止出现此类问题,您需要设置VTP域名和密码或使用Cisco端口安全功能,该功能允许您管理交换机端口的MAC地址,从而对其使用引入各种限制。 例如,如果其他人尝试更改 MAC 地址,端口将立即关闭。 我们很快就会仔细研究 Cisco 交换机的这一功能,但现在您需要知道的是端口安全允许您确保 VTP 免受攻击。
让我们总结一下什么是 VTP 设置。 这是协议版本的选择 - 1 或 2,VTP 模式的分配 - 服务器、客户端或透明。 正如我已经说过的,后一种模式不会更新设备本身的 VLAN 数据库,而是简单地将所有更改传输到相邻设备。 以下是分配域名和密码的命令:vtp 域 <域名> 和 vtp 密码 <密码>。
现在我们来谈谈 VTP 修剪设置。 如果查看网络拓扑,您可以看到所有三台交换机都具有相同的 VLAN 数据库,这意味着 VLAN10 和 VLAN20 是所有 3 台交换机的一部分。 从技术上讲,交换机 SW2 不需要 VLAN20,因为它没有属于该网络的端口。 然而,无论如何,从 Laptop0 计算机通过 VLAN20 网络发送的所有流量都会到达 SW1 交换机,并从它通过中继到达 SW2 端口。 作为网络专家,您的主要任务是确保通过网络传输尽可能少的不必要数据。 您必须确保传输必要的数据,但是如何限制设备不需要的信息的传输呢?
您必须确保发往 VLAN20 上的设备的流量在不需要时不会通过中继流向 SW2 端口。 也就是说,Laptop0 流量应到达 SW1,然后到达 VLAN20 上的计算机,但不应超出 SW1 的右侧中继端口。 这可以使用 VTP 修剪来实现。
为此,我们需要进入VTP服务器SW0的设置,因为正如我已经说过的,VTP设置只能通过服务器进行,进入全局配置设置并键入vtp修剪命令。 由于Packet Tracer只是一个模拟程序,因此它的命令行提示中没有这样的命令。 但是,当我输入 vtp pruning 并按 Enter 时,系统告诉我 vtp 修剪模式不可用。
使用 show vtp status 命令,我们将看到 VTP 修剪模式处于禁用状态,因此我们需要将其移至启用位置以使其可用。 完成此操作后,我们在网络域内网络的所有三台交换机上激活 VTP 修剪模式。
让我提醒您什么是 VTP 修剪。 当我们启用此模式时,交换机服务器 SW0 通知交换机 SW2 在其端口上仅配置了 VLAN10。 此后,交换机 SW2 告诉交换机 SW1,除了用于 VLAN10 的流量之外,它不需要任何流量。 现在,由于 VTP 修剪,交换机 SW1 获得了不需要沿 SW20-SW1 中继发送 VLAN2 流量的信息。
这对于网络管理员来说非常方便。 您无需手动输入命令,因为交换机足够智能,可以准确发送特定网络设备所需的内容。 如果明天您在下一栋大楼中放置另一个营销部门并将其 VLAN20 网络连接到交换机 SW2,则该交换机将立即告诉交换机 SW1 它现在拥有 VLAN10 和 VLAN20,并要求其转发两个网络的流量。 这些信息在所有设备上不断更新,使通信更加高效。
还有另一种方法可以指定流量的传输,即使用仅允许指定 VLAN 进行数据传输的命令。 我转到交换机 SW1 的设置(我对端口 Fa0/4 感兴趣),然后输入命令 int fa0/4 和 switchport trunk allowed vlan。 由于我已经知道 SW2 只有 VLAN10,因此我可以使用 allowed vlan 命令告诉 SW1 在其中继端口上仅允许该网络的流量。 因此,我将中继端口 Fa0/4 编程为仅承载 VLAN10 的流量。 这意味着该端口将不允许来自 VLAN1、VLAN20 或除指定网络之外的任何其他网络的流量。
您可能想知道哪个更好:VTP 修剪或允许的 vlan 命令。 答案是主观的,因为在某些情况下使用第一种方法是有意义的,而在其他情况下使用第二种方法是有意义的。 作为网络管理员,您可以选择最佳的解决方案。 在某些情况下,对端口进行编程以允许来自特定 VLAN 的流量的决定可能是好的,但在其他情况下可能会很糟糕。 就我们的网络而言,如果我们不打算更改网络拓扑,则使用 allowed vlan 命令可能是合理的。 但如果后来有人想将一组使用 VLAN2 的设备添加到 SW 20,则更建议使用 VTP Pruning 模式。
因此,设置 VTP 修剪涉及使用以下命令。 vtp 修剪命令提供了此模式的自动使用。 如果要手动配置Trunk端口的VTP Pruning以允许特定VLAN的流量通过,则使用命令选择Trunk端口号接口<#>,启用Trunk模式SwitchPort模式Trunk并允许流量传输使用 switchport trunk allowed vlan 命令连接到特定网络。
在最后一个命令中,您可以使用 5 个参数。 all 表示允许所有 VLAN 的流量传输,none – 禁止所有 VLAN 的流量传输。 如果使用 add 参数,您可以添加另一个网络的流量吞吐量。 例如我们允许VLAN10的流量通过,通过add命令我们也可以允许VLAN20的流量通过。 remove 命令允许您删除其中一个网络,例如,如果您使用remove 20 参数,则仅保留 VLAN10 流量。
现在让我们看看本征 VLAN。 我们已经说过,本机 VLAN 是一个虚拟网络,用于通过特定的中继端口传递未标记的流量。
我进入 SW(config-if)# 命令行标头所示的特定端口设置,并使用命令 switchport trunk native vlan <network number>,例如 VLAN10。 现在 VLAN10 上的所有流量都将通过未标记的中继。
让我们回到 Packet Tracer 窗口中的逻辑网络拓扑。 如果我在交换机端口 Fa20/0 上使用 switchport trunk native vlan 4 命令,则 VLAN20 上的所有流量都将流经 Fa0/4 – SW2 中继(未标记)。 当交换机 SW2 收到此流量时,它会认为:“这是未标记的流量,这意味着我应该将其路由到本机 VLAN。” 对于此交换机,本征 VLAN 是 VLAN1 网络。 网络 1 和 20 没有以任何方式连接,但由于使用本机 VLAN 模式,我们有机会将 VLAN20 流量路由到完全不同的网络。 然而,该流量将被取消封装,并且网络本身仍然必须匹配。
让我们看一个例子。 我将进入 SW1 的设置并使用 switchport trunk native vlan 10 命令。现在任何 VLAN10 流量都将从中继端口发出,不带标记。 当它到达中继端口 SW2 时,交换机将了解它必须将其转发到 VLAN1。 由于此决定,流量将无法到达计算机 PC2、3 和 4,因为它们连接到用于 VLAN10 的交换机访问端口。
从技术上讲,这将导致系统报告端口 Fa0/4(属于 VLAN10 的一部分)的本征 VLAN 与端口 Fa0/1(属于 VLAN1 的一部分)不匹配。 这意味着由于本机 VLAN 不匹配,指定端口将无法在中继模式下运行。
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的内容? 通过下订单或推荐给朋友来支持我们, 在我们为您发明的独特的入门级服务器模拟上,Habr 用户可享受 30% 的折扣: (适用于 RAID1 和 RAID10,最多 24 个内核和最多 40GB DDR4)。
戴尔R730xd便宜2倍? 只有这里 在荷兰! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 阅读
来源: habr.com