今天我们来看看动态中继协议DTP和VTP——VLAN中继协议。 正如我在上一课中所说,我们将按照 ICND2 考试主题在思科网站上列出的顺序进行操作。
上次我们讨论了第 1.1 点,今天我们将讨论第 1.2 点 - 设置、检查网络交换机连接并进行故障排除:在主干以及 DTP 和 VTP 协议版本 1 和 2 中添加和删除 VLAN。
默认情况下,开箱即用的所有交换机端口均配置为使用 DTP 协议的动态自动模式。 这意味着当连接不同交换机的两个端口时,如果其中一个端口处于中继或所需模式,则它们之间的中继会自动打开。 如果两台交换机的端口都处于动态自动模式,则不会形成中继。
因此,一切都取决于设置 2 个开关中每一个的操作模式。 为了便于理解,我做了一个表格,列出了两台交换机的DTP模式可能的组合。 您会看到,如果两台交换机都使用动态自动,它们将不会形成中继,但将保持在访问模式。 因此,如果要在两台交换机之间创建 Trunk,则必须将至少其中一台交换机编程为 Trunk 模式,或者将 Trunk 端口编程为使用 Dynamic Desirable 模式。 从表中可以看出,每个交换机端口都可以处于 4 种模式之一:Access、Dynamic Auto、Dynamic Desirable 或 Trunk。
如果两个端口都配置为访问模式,则连接的交换机将使用访问模式。 如果一个端口配置为动态自动,另一个端口配置为访问,则两个端口都将在访问模式下运行。 如果一个端口工作在Access模式,另一个端口工作在Trunk模式,则无法连接交换机,因此不能使用这种模式组合。
因此,为了使中继工作,必须将其中一个交换机端口编程为 Trunk,将另一个端口编程为 Trunk、Dynamic Auto 或 Dynamic Desirable。 如果两个端口都配置为“动态所需”,也会形成干线。
Dynamic Desirable 和 Dynamic Auto 之间的区别在于,在第一种模式下,端口本身启动中继,将 DTP 帧发送到第二个交换机的端口。 在第二种模式下,交换机端口会等待,直到有人开始与其通信,如果两个交换机的端口都配置为动态自动,则它们之间永远不会形成中继。 在 Dynamic Desirable 的情况下,情况相反 - 如果两个端口都配置为此模式,则必须在它们之间形成中继。
我建议您记住这张表,因为它将帮助您正确配置相互连接的交换机。 让我们在 Packet Tracer 程序中看看这方面的内容。 我将 3 个交换机串联连接在一起,现在将在屏幕上显示每个设备的 CLI 控制台窗口。
如果我输入 show int trunk 命令,我们将看不到任何中继,这在没有必要设置的情况下是完全自然的,因为所有交换机都配置为动态自动模式。 如果我要求显示中间交换机的 f0/1 接口参数,您将看到在管理设置模式中列出了动态自动参数。
第三个和第一个交换机具有类似的设置 - 它们的端口 f0/1 也处于动态自动模式。 如果您还记得该表,则对于中继,所有端口必须处于中继模式,或者其中一个端口必须处于动态所需模式。
让我们进入第一台交换机 SW0 的设置并配置端口 f0/1。 输入 switchport mode 命令后,系统将提示您可能的模式参数:access、dynamic 或 trunk。 我使用 switchport modedynamicdesirable 命令,你可以注意到第二台交换机的 trunk 端口 f0/1 在输入该命令后,首先进入 down 状态,然后在收到第一台交换机的 DTP 帧后,又进入 down 状态。进入向上状态。
如果我们现在在交换机 SW1 的 CLI 控制台中输入 show int trunk 命令,我们将看到端口 f0/1 处于中继状态。 我在交换机SW1的控制台中输入相同的命令,看到相同的信息,即现在交换机SW0和SW1之间安装了一条中继。 在这种情况下,第一个交换机的端口处于所需模式,第二个交换机的端口处于自动模式。
第二个和第三个交换机之间没有连接,因此我进入第三个交换机的设置并输入命令 switchport modedynamicdesirable。 您会看到,在第二个交换机中,发生了相同的 down-up 状态变化,只是现在它们触及了交换机 0 连接的端口 f2/3。 现在第二台交换机有两条中继:一条在接口 f0/1 上,第二条在接口 f0/2 上。 如果使用 show int trunk 命令可以看到这一点。
第二台交换机的两个端口都处于auto状态,也就是说,为了与相邻交换机建立Trunking,它们的端口必须处于Trunk或desired模式,因为在这种情况下,建立Trunk的模式只有2种。 使用该表,您始终可以配置交换机端口,以便在它们之间组织中继。 这就是使用动态集群协议DTP的本质。
让我们开始了解 VLAN 中继协议(VTP)。 该协议确保不同网络设备的 VLAN 数据库同步,将更新的 VLAN 数据库从一个设备传输到另一设备。 让我们回到 3 个开关的电路。 VTP可以以3种模式运行:服务器模式、客户端模式和透明模式。 VTP v3 还有另一种模式称为“关闭”,但 Cisco 考试仅涵盖 VTP 版本 XNUMX 和 XNUMX。
服务器模式用于通过交换机命令行创建新的 VLAN、删除或更改网络。 在客户端模式下,不能对VLAN进行任何操作;在此模式下,仅从服务器更新VLAN数据库。 透明模式的作用就像禁用 VTP 协议一样,即交换机不会发出自己的 VTP 消息,而是传输来自其他交换机的更新 - 如果更新到达其中一个交换机端口,它会通过自身传递该消息并发送它通过另一个端口进一步通过网络。 在透明模式下,交换机只是充当其他人消息的发送者,而不更新自己的VLAN数据库。
在此幻灯片上,您将看到在全局配置模式下输入的 VTP 协议配置命令。 第一个命令可以更改使用的协议版本。 第二条命令选择 VTP 操作模式。
如果要创建 VTP 域,请使用 vtp domain <domain name> 命令,要设置 VTP 密码,需要输入 vtp password <PASSWORD> 命令。 让我们转到第一台交换机的 CLI 控制台,输入 show vtp status 命令查看 VTP 状态。
可以看到VTP协议版本为第二,支持的最大VLAN数为255,现有VLAN数为5,VLAN工作模式为server。 这些都是默认设置。 我们已经在第 30 天的课程中讨论了 VTP,所以如果您忘记了什么,可以返回并再次观看此视频。
要查看 VLAN 数据库,我发出 show vlan Brief 命令。 此处显示 VLAN1 和 VLAN1002-1005。 默认情况下,交换机的所有空闲接口都连接到第一个网络 - 23 个快速以太网端口和 2 个千兆以太网端口,其余 4 个 VLAN 不支持。 其他两台交换机的 VLAN 数据库看起来完全相同,只是 SW1 没有 23 个,而是 22 个可用于 VLAN 的快速以太网端口,因为 f0/1 和 f0/2 被中继占用。 让我再次提醒您“第 30 天”课程中讨论的内容 - VTP 协议仅支持更新 VLAN 数据库。
如果我使用 switchport access 和 switchport mode access VLAN10、VLAN20 或 VLAN30 命令将多个端口配置为使用 VLAN,则 VTP 将不会复制这些端口的配置,因为 VTP 仅更新 VLAN 数据库。
因此,如果 SW1 端口之一配置为与 VLAN20 一起工作,但该网络不在 VLAN 数据库中,则该端口将被禁用。 反过来,数据库更新仅在使用 VTP 协议时发生。
使用 show vtp status 命令,我看到所有 3 个交换机现在都处于服务器模式。 我将使用 vtp mode secure 命令将中间交换机 SW1 切换到透明模式,使用 vtp mode client 命令将第三个交换机 SW2 切换到客户端模式。
现在让我们回到第一个交换机 SW0 并使用 vtp domain <domain name> 命令创建 nwking.org 域。 如果您现在查看处于透明模式的第二台交换机的 VTP 状态,您可以看到它对域的创建没有任何反应 - VTP 域名字段仍为空。 然而,处于客户端模式的第三台交换机更新了其数据库,现在的域名为 VTP-nwking.org。 这样,交换机SW0的数据库的更新就经过了SW1,并反映到了SW2中。
现在我将尝试更改指定的域名,为此我将转到 SW0 设置并键入 vtp domain NetworKing 命令。 正如您所看到的,这次没有更新 - 第三台交换机上的 VTP 域名保持不变。 事实上,这样的域名更新仅在默认域更改时发生一次。 如果此后 VTP 域名再次更改,则需要在其余交换机上手动更改。
现在,我将在第一台交换机的 CLI 控制台中创建一个新的 VLAN100 网络,并将其命名为 IMRAN。 它出现在第一台交换机的VLAN数据库中,但没有出现在第三台交换机的数据库中,因为它们是不同的域。 请记住,仅当两台交换机具有相同的域时才会更新 VLAN 数据库,或者如我之前所示,设置了新的域名而不是默认名称。
我进入3个交换机的设置并依次输入vtp模式和vtp域NetworKing命令。 请注意,名称输入区分大小写,因此两个交换机的域名拼写必须完全相同。 现在,我使用 vtp 模式客户端命令将 SW2 返回到客户端模式。 让我们看看发生了什么。 正如您所看到的,现在,如果域名匹配,则SW2数据库已更新,并且其中出现了新的VLAN100 IMRAN网络,并且这些更改对普通交换机没有影响,因为它处于透明模式。
如果您想保护自己免受未经授权的访问,您可以创建 VTP 密码。 但是,您必须确保另一端的设备具有完全相同的密码,因为只有在这种情况下,它才能够接受 VTP 更新。
接下来我们要关注的是 VTP 修剪,即“修剪”未使用的 VLAN。 如果网络上有 100 台设备使用 VTP,则一台设备上的 VLAN 数据库更新将自动复制到其他 99 台设备。 但是,并非所有这些设备都具有更新中提到的 VLAN,因此可能不需要有关它们的信息。
使用 VTP 向设备发送 VLAN 数据库更新意味着所有设备上的所有端口都将收到有关添加、删除和更改的 VLAN 的信息,而这些信息可能与它们无关。 与此同时,网络因流量过多而变得堵塞。 为了防止这种情况发生,使用了 VTP 修剪的概念。 要在交换机上启用不相关 VLAN 的“修剪”模式,请使用 vtp pruning 命令。 然后,交换机将自动告诉对方它们实际使用的是哪些 VLAN,从而警告邻居它们不需要向未连接到它们的网络发送更新。
例如,如果 SW2 没有任何 VLAN10 端口,则不需要 SW1 发送该网络的流量。 同时,交换机 SW1 需要 VLAN10 流量,因为它的一个端口连接到该网络,但它不需要将此流量发送到交换机 SW2。
因此,如果 SW2 使用 vtp 修剪模式,它会告诉 SW1:“请不要向我发送 VLAN10 的流量,因为该网络未连接到我,并且我的端口均未配置为与该网络配合使用。” 这就是使用 vtp 修剪命令的作用。
还有另一种方法可以过滤特定接口的流量。 它允许您使用特定 VLAN 配置中继上的端口。 这种方法的缺点是需要手动配置每个Trunk端口,需要指定哪些VLAN是允许的,哪些是禁止的。 为此,需要使用 3 个命令序列。 第一个指示受这些限制影响的接口,第二个将此接口转换为中继端口,第三个 - switchport trunk allowed vlan < all/none/add/remove/VLAN number> - 显示此端口上允许哪个 VLAN: all、none one、要添加的 VLAN 或要删除的 VLAN。
根据具体情况,您选择使用什么:VTP 修剪或允许的 Trunk。 出于安全原因,某些组织不愿意使用 VTP,因此他们选择手动配置中继。 由于 vtp 修剪命令在 Packet Tracer 中不起作用,因此我将在 GNS3 模拟器中显示它。
如果进入SW2设置并输入vtp pruning命令,系统会立即报告此模式已启用: Pruning Switched on,即只需一条命令即可打开VLAN“修剪”。
如果我们键入 show vtp status 命令,我们将看到 vtp 修剪模式已启用。
如果您要在交换机服务器上设置此模式,请转到其设置并输入 vtp 修剪命令。 这意味着连接到服务器的设备将自动使用 vtp 修剪来最大程度地减少不相关 VLAN 的中继流量。
如果您不想使用此模式,则必须登录到特定接口(例如 e0/0),然后发出 switchport trunk allowed vlan 命令。 系统将为您提供有关此命令的可能参数的提示:
— WORD — 在中继模式下该接口允许使用的 VLAN 号;
—add—要添加到VLAN数据库列表中的VLAN;
— all — 允许所有 VLAN;
— except — 允许除指定的 VLAN 之外的所有 VLAN;
— 无 — 禁止所有 VLAN;
— 删除 — 从 VLAN 数据库列表中删除 VLAN。
例如,如果我们有一个允许 VLAN10 的中继,并且希望允许它用于 VLAN20 网络,那么我们需要输入 switchport trunk allowed vlan add 20 命令。
我想向您展示其他内容,因此我使用 show interface trunk 命令。 请注意,默认情况下,所有 VLAN 1-1005 都允许用于中继,现在 VLAN10 已添加到其中。
如果我使用 switchport trunk allowed vlan add 20 命令并再次要求显示中继状态,我们可以看到中继现在允许两个网络 - VLAN10 和 VLAN20。
在这种情况下,除了那些用于指定网络的流量之外,没有其他流量能够通过该主干。 通过仅允许 VLAN 10 和 VLAN 20 的流量,我们拒绝了所有其他 VLAN 的流量。 以下介绍了如何在特定交换机接口上为特定 VLAN 手动配置中继设置。
请注意,截至 17 年 2017 月 90 日结束之前,在我们的网站上下载有关此主题的实验室工作的费用可享受 XNUMX% 的折扣。
感谢您的关注,我们下一个视频课程再见!
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的内容? 通过下订单或推荐给朋友来支持我们, 在我们为您发明的独特的入门级服务器模拟上,Habr 用户可享受 30% 的折扣: (适用于 RAID1 和 RAID10,最多 24 个内核和最多 40GB DDR4)。
戴尔R730xd便宜2倍? 只有这里 在荷兰! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 阅读
来源: habr.com