今天我們繼續討論VLAN,討論VTP協議,以及VTP Pruning和Native VLAN的概念。 我們已經在之前的一個影片中討論過 VTP,當您聽到 VTP 時,您首先想到的應該是它不是中繼協議,儘管被稱為「VLAN 中繼協定」。
如您所知,有兩種流行的中繼協議:專有的 Cisco ISL 協議(目前尚未使用)和 802.q 協議,該協議在各個製造商的網路設備中用於封裝中繼流量。 此協定也用於 Cisco 交換器。 我們已經說過,VTP 是一種 VLAN 同步協議,也就是說,它旨在跨所有網路交換器同步 VLAN 資料庫。
我們提到了不同的 VTP 模式 - 伺服器、客戶端、透明。 如果設備使用伺服器模式,您可以進行變更、新增或刪除 VLAN。 用戶端模式不允許您變更交換器設置,您只能透過 VTP 伺服器配置 VLAN 資料庫,並且它將在所有 VTP 用戶端上複製。 透明模式下的交換器不會對其自身的 VLAN 資料庫進行更改,而只是簡單地透過自身並將更改傳輸到客戶端模式下的下一個設備。 這種模式類似於在特定裝置上停用VTP,將其變成VLAN變更資訊的傳輸者。
讓我們回到上一課中討論的 Packet Tracer 程式和網路拓撲。 我們為銷售部門配置了VLAN10網絡,為行銷部門配置了VLAN20網絡,透過三台交換器組合起來。
交換器SW0和SW1之間透過VLAN20網路進行通信,SW0和SW2之間透過VLAN10網路進行通信,因為我們將VLAN10加入了交換器SW1的VLAN資料庫中。
為了考慮VTP協定的運行,我們使用其中一台交換器作為VTP伺服器,設其為SW0。 如果您還記得的話,預設情況下所有交換器都在 VTP 伺服器模式下運作。 我們進入交換器的命令列終端,輸入show vtp status命令。 您會看到目前的 VTP 協定版本為 2,設定修訂號為 4。如果您還記得的話,每次對 VTP 資料庫進行更改,修訂號都會增加 XNUMX。
支援的 VLAN 最大數量為 255。該數量取決於特定 Cisco 交換器的品牌,因為不同的交換器可以支援不同數量的本地虛擬網路。 現有 VLAN 的數量為 7,稍後我們將了解這些網路是什麼。 VTP控制模式為伺服器,未設定域名,VTP Pruning模式被停用,我們稍後再說。 VTP V2 和 VTP 陷阱產生模式也被停用。 您不需要了解最後兩種模式即可通過 200-125 CCNA 考試,因此不必擔心它們。
讓我們使用 show vlan 指令來查看 VLAN 資料庫。 正如我們在上一個影片中看到的,我們有 4 個不受支援的網路:1002、1003、1004 和 1005。
它還列出了我們創建的 2 個網路(VLAN10 和 20)以及預設網路 VLAN1。 現在讓我們轉到另一台交換器並輸入相同的命令以查看 VTP 狀態。 您會看到該交換器的修訂號碼為 3,它處於 VTP 伺服器模式,所有其他資訊與第一台交換器類似。 當我輸入show VLAN 命令時,我可以看到我們對設定進行了2 處更改,比交換器SW0 少了1 處,這就是為什麼SW3 的修訂號為3。我們對第一個的預設進行了4處更改切換,因此其修訂號增加到 XNUMX。
現在我們來看看SW2的狀態。 這裡的修訂號是1,這很奇怪。 我們必須進行第二次修訂,因為進行了 1 項設定變更。 讓我們來看看 VLAN 資料庫。
我們進行了一項更改,創建了 VLAN10,但我不知道為什麼資訊沒有更新。 也許發生這種情況是因為我們沒有真正的網絡,而是軟體網路模擬器,這可能會出現錯誤。 當您在 Cisco 實習期間有機會使用真實設備時,它比 Packet Tracer 模擬器對您的幫助更大。 在沒有真實設備的情況下,另一個有用的東西是 GNC3,或是圖形思科網路模擬器。 這是一個使用裝置(例如路由器)真實作業系統的模擬器。 模擬器和模擬器之間存在差異 - 前者是一個看起來像真正的路由器的程序,但實際上不是一個。 模擬器軟體僅創建設備本身,但使用真實的軟體來操作它。 但如果您沒有能力運作實際的 Cisco IOS 軟體,Packet Tracer 是您的最佳選擇。
因此,我們需要將 SW0 配置為 VTP 伺服器,為此我進入全域設定設定模式並輸入 vtp version 2 命令。正如我所說,我們可以安裝我們需要的協定版本 - 1 或 2,在此如果我們需要第二個版本。 接下來,使用 vtp mode 命令,我們設定交換器的 VTP 模式 - 伺服器、客戶端或透明。 在這種情況下,我們需要伺服器模式,輸入vtp mode server指令後,系統會顯示一則訊息,表示裝置已處於伺服器模式。 接下來,我們必須設定一個 VTP 網域,為此我們使用 vtp domain nwking.org 指令。 為什麼這是必要的? 如果網路上存在另一個具有較高版本號的設備,則具有較低版本號的所有其他設備將開始從該設備複製 VLAN 資料庫。 但是,只有當設備具有相同的網域名稱時才會發生這種情況。 例如,如果您在 nwking.org 工作,則指定此網域,如果在 Cisco 工作,則指定網域 cisco.com,依此類推。 您公司設備的網域可讓您將其與其他公司的設備或網路上的任何其他外部設備區分開來。 當您將公司的網域分配給設備時,您就使其成為該公司網路的一部分。
接下來要做的是設定 VTP 密碼。 這是必要的,這樣擁有高版本號設備的駭客就無法將其 VTP 設定複製到您的交換器。 我使用 vtp 密碼 cisco 指令輸入 cisco 密碼。 此後,僅當密碼符合時,才可以在交換器之間複製 VTP 資料。 如果使用錯誤的密碼,VLAN 資料庫將不會更新。
讓我們嘗試建立更多 VLAN。 為此,我使用 config t 命令,使用 vlan 200 命令建立網路號碼 200,將其命名為 TEST,並使用 exit 命令儲存變更。 然後我創建另一個 vlan 500 並將其命名為 TEST1。 如果您現在輸入 show vlan 命令,則在交換器的虛擬網絡表中您可以看到這兩個新網絡,但沒有為其指派任何連接埠。
讓我們轉到 SW1 並查看其 VTP 狀態。 我們看到除了網域之外沒有任何變化,VLAN 數量仍然等於 7。我們沒有看到我們建立的網路出現,因為 VTP 密碼不符。 讓我們透過依序輸入指令conf t、vtp pass 和vtp password Cisco 來設定此交換器上的VTP 密碼。 系統報告設備的 VLAN 資料庫現在使用 Cisco 密碼。 我們再看一下VTP狀態,檢查資訊是否已經複製。 如您所看到的,現有 VLAN 的數量已自動增加到 9 個。
如果您查看該交換器的 VLAN 資料庫,您可以看到我們建立的 VLAN200 和 VLAN500 網路會自動出現在其中。
最後一個開關 SW2 也需要做同樣的事情。 我們輸入show vlan指令-可以看到裡面沒有任何變化。 同樣,VTP 狀態也沒有變化。 為了讓該交換器更新訊息,還需要設定密碼,即輸入與SW1相同的命令。 此後,處於 SW2 狀態的 VLAN 數量將增加到 9 個。
這就是 VTP 的用途。 這是一件很棒的事情,可以在伺服器設備發生更改後自動更新所有客戶端網路設備中的資訊。 您無需手動變更所有交換器的 VLAN 資料庫 - 複製會自動進行。 如果您有 200 台網路設備,您所做的變更將同時儲存在所有 2 台設備上。 為了以防萬一,我們需要確保 SWXNUMX 也是 VTP 用戶端,所以讓我們使用 config t 命令進入設定並輸入 vtp 模式客戶端命令。
因此,在我們的網路中,只有第一台交換器處於 VTP 伺服器模式,其他兩台交換器以 VTP 用戶端模式運作。 如果我現在進入 SW2 設定並輸入 vlan 1000 命令,我將收到訊息:“當設備處於客戶端模式時,不允許配置 VTP VLAN。” 因此,如果交換器處於 VTP 用戶端模式,我無法對 VLAN 資料庫進行任何變更。 如果我想進行任何更改,我需要轉到交換器伺服器。
我進入 SW0 終端設定並輸入命令 vlan 999、名稱 IMRAN 並退出。 這個新網路已經出現在這個交換器的VLAN資料庫中,如果我現在去客戶端交換器SW2的資料庫中,我會看到這裡出現了相同的訊息,即發生了複製。
正如我所說,VTP 是一款很棒的軟體,但如果使用不當,它可能會破壞整個網路。 因此,如果沒有設定網域名稱和VTP密碼,在處理公司網路時需要非常小心。 在這種情況下,駭客所需要做的就是將交換器的電纜插入牆上的網路插座,使用 DTP 協定連接到任何辦公室交換機,然後使用已建立的中繼,使用 VTP 協定更新所有資訊。 這樣,駭客就可以利用其裝置的版本號碼高於其他交換器的版本號碼這一事實,刪除所有重要的 VLAN。 在這種情況下,公司的交換器將自動用從惡意交換器複製的資訊替換所有 VLAN 資料庫訊息,您的整個網路將崩潰。
這是因為電腦使用網路電纜連接到分配了 VLAN 10 或 VLAN20 的特定交換器連接埠。 如果這些網路從交換器的 LAN 資料庫中刪除,則會自動停用屬於不存在網路的連接埠。 通常情況下,公司的網路可能會崩潰,因為交換器只是停用了與下次更新期間刪除的 VLAN 關聯的連接埠。
為了防止此類問題,您需要設定VTP網域和密碼或使用Cisco連接埠安全功能,該功能可讓您管理交換器連接埠的MAC位址,從而對其使用引入各種限制。 例如,如果其他人嘗試變更 MAC 位址,連接埠將立即關閉。 我們很快就會仔細研究 Cisco 交換器的這項功能,但現在您需要知道的是連接埠安全性可讓您確保 VTP 免受攻擊。
讓我們總結一下什麼是 VTP 設定。 這是協定版本的選擇 - 1 或 2,VTP 模式的分配 - 伺服器、客戶端或透明。 正如我已經說過的,後一種模式不會更新設備本身的 VLAN 資料庫,而是簡單地將所有變更傳輸到相鄰設備。 以下是分配網域名稱和密碼的命令:vtp 網域 <網域名稱> 和 vtp 密碼 <密碼>。
現在我們來談談 VTP 修剪設定。 如果查看網路拓撲,您可以看到所有三台交換器都具有相同的 VLAN 資料庫,這表示 VLAN10 和 VLAN20 是所有 3 台交換器的一部分。 從技術上講,交換器 SW2 不需要 VLAN20,因為它沒有屬於該網路的連接埠。 然而,無論如何,從 Laptop0 電腦透過 VLAN20 網路發送的所有流量都會到達 SW1 交換機,並從它通過中繼到達 SW2 連接埠。 作為網路專家,您的主要任務是確保透過網路傳輸盡可能少的不必要資料。 您必須確保傳輸必要的數據,但是如何限制設備不需要的資訊的傳輸呢?
您必須確保發送至 VLAN20 上的設備的流量在不需要時不會通過中繼流向 SW2 連接埠。 也就是說,Laptop0 流量應到達 SW1,然後到達 VLAN20 上的計算機,但不應超出 SW1 的右側中繼埠。 這可以使用 VTP 修剪來實現。
為此,我們需要進入VTP伺服器SW0的設置,因為正如我已經說過的,VTP設置只能透過伺服器進行,進入全域設定設定並鍵入vtp修剪命令。 由於Packet Tracer只是一個模擬程序,因此它的命令列提示中沒有這樣的命令。 但是,當我輸入 vtp pruning 並按 Enter 時,系統告訴我 vtp 修剪模式不可用。
使用 show vtp status 命令,我們將看到 VTP 修剪模式處於停用狀態,因此我們需要將其移至啟用位置以使其可用。 完成此操作後,我們在網路域內網路的所有三台交換器上啟動 VTP 修剪模式。
讓我提醒您什麼是 VTP 修剪。 當我們啟用此模式時,交換器伺服器 SW0 通知交換器 SW2 在其連接埠上僅配置了 VLAN10。 此後,交換器 SW2 告訴交換器 SW1,除了用於 VLAN10 的流量之外,它不需要任何流量。 現在,由於 VTP 修剪,交換器 SW1 獲得了不需要沿 SW20-SW1 中繼發送 VLAN2 流量的資訊。
這對於網路管理員來說非常方便。 您無需手動輸入命令,因為交換器足夠智能,可以準確發送特定網路設備所需的內容。 如果明天您在下一棟大樓中放置另一個行銷部門並將其 VLAN20 網路連接到交換器 SW2,則該交換器將立即告訴交換器 SW1 它現在擁有 VLAN10 和 VLAN20,並要求其轉送兩個網路的流量。 這些資訊在所有裝置上不斷更新,使通訊更加有效率。
還有另一種方法可以指定流量的傳輸,即使用僅允許指定 VLAN 進行資料傳輸的命令。 我轉到交換器 SW1 的設定(我對連接埠 Fa0/4 感興趣),然後輸入命令 int fa0/4 和 switchport trunk allowed vlan。 由於我已經知道 SW2 只有 VLAN10,因此我可以使用 allowed vlan 命令告訴 SW1 在其中繼埠上僅允許該網路的流量。 因此,我將中繼埠 Fa0/4 編程為僅承載 VLAN10 的流量。 這表示該連接埠將不允許來自 VLAN1、VLAN20 或除指定網路之外的任何其他網路的進一步流量。
您可能想知道哪個更好:VTP 修剪或允許的 vlan 命令。 答案是主觀的,因為在某些情況下使用第一種方法是有意義的,而在其他情況下使用第二種方法是有意義的。 作為網路管理員,您可以選擇最佳的解決方案。 在某些情況下,對連接埠進行編程以允許來自特定 VLAN 的流量的決定可能是好的,但在其他情況下可能會很糟糕。 就我們的網路而言,如果我們不打算更改網路拓撲,則使用 allowed vlan 命令可能是合理的。 但如果後來有人想將一組使用 VLAN2 的裝置加入 SW 20,則更建議使用 VTP Pruning 模式。
因此,設定 VTP 修剪涉及使用以下命令。 vtp 修剪指令提供了此模式的自動使用。 如果要手動設定Trunk連接埠的VTP Pruning以允許特定VLAN的流量通過,則使用命令選擇Trunk連接埠號碼介面<#>,啟用Trunk模式SwitchPort模式Trunk並允許流量傳輸使用 switchport trunk allowed vlan 命令連接到特定網絡。
在最後一個命令中,您可以使用 5 個參數。 all 表示允許所有 VLAN 的流量傳輸,none – 禁止所有 VLAN 的流量傳輸。 如果使用 add 參數,您可以新增另一個網路的流量吞吐量。 例如我們允許VLAN10的流量通過,透過add指令我們也可以允許VLAN20的流量通過。 remove 指令可讓您刪除其中一個網絡,例如,如果您使用remove 20 參數,則僅保留 VLAN10 流量。
現在讓我們來看看本徵 VLAN。 我們已經說過,本機 VLAN 是一個虛擬網絡,用於透過特定的中繼連接埠傳遞未標記的流量。
我進入 SW(config-if)# 命令列標頭所示的特定連接埠設置,並使用命令 switchport trunk native vlan <network number>,例如 VLAN10。 現在 VLAN10 上的所有流量都將通過未標記的中繼。
讓我們回到 Packet Tracer 視窗中的邏輯網路拓撲。 如果我在交換器連接埠 Fa20/0 上使用 switchport trunk native vlan 4 命令,則 VLAN20 上的所有流量都將流經 Fa0/4 – SW2 中繼(未標記)。 當交換器 SW2 收到此流量時,它會認為:“這是未標記的流量,這意味著我應該將其路由到本機 VLAN。” 對於此交換機,本徵 VLAN 是 VLAN1 網路。 網路 1 和 20 沒有以任何方式連接,但由於使用本機 VLAN 模式,我們有機會將 VLAN20 流量路由到完全不同的網路。 然而,該流量將被取消封裝,並且網路本身仍然必須匹配。
讓我們來看一個例子。 我將進入 SW1 的設定並使用 switchport trunk native vlan 10 命令。現在任何 VLAN10 流量都將從中繼連接埠發出,不帶標記。 當它到達中繼埠 SW2 時,交換器將了解它必須將其轉送到 VLAN1。 由於此決定,流量將無法到達電腦 PC2、3 和 4,因為它們連接到用於 VLAN10 的交換器存取連接埠。
從技術上講,這將導致系統報告連接埠 Fa0/4(屬於 VLAN10 的一部分)的本徵 VLAN 與連接埠 Fa0/1(屬於 VLAN1 的一部分)不符。 這表示由於本機 VLAN 不匹配,因此指定連接埠將無法在中繼模式下運作。
感謝您與我們在一起。 你喜歡我們的文章嗎? 想看更多有趣的內容? 通過下訂單或推薦給朋友來支持我們, 在我們為您發明的獨特的入門級服務器模擬上,Habr 用戶可享受 30% 的折扣: (適用於 RAID1 和 RAID10,最多 24 個內核和最多 40GB DDR4)。
戴爾R730xd便宜2倍? 只有這裡 在荷蘭! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 閱讀
來源: www.habr.com