今天我們來看看動態中繼協定DTP和VTP——VLAN中繼協定。 正如我在上一課中所說,我們將按照 ICND2 考試主題在思科網站上列出的順序進行操作。
上次我們討論了第 1.1 點,今天我們將討論第 1.2 點 - 設定、檢查網路交換器連線並進行故障排除:在主幹以及 DTP 和 VTP 協定版本 1 和 2 中新增和移除 VLAN。
預設情況下,開箱即用的所有交換器連接埠均配置為使用 DTP 協定的動態自動模式。 這表示當連接不同交換器的兩個連接埠時,如果其中一個連接埠處於中繼或所需模式,則它們之間的中繼會自動開啟。 如果兩台交換器的連接埠都處於動態自動模式,則不會形成中繼。
因此,一切都取決於設定 2 個開關中每一個的操作模式。 為了便於理解,我做了一個表格,列出了兩台交換器的DTP模式可能的組合。 您會看到,如果兩台交換器都使用動態自動,它們將不會形成中繼,但將保持在存取模式。 因此,如果要在兩台交換器之間建立 Trunk,則必須將至少一台交換器編程為 Trunk 模式,或將 Trunk 連接埠編程為使用 Dynamic Desirable 模式。 從表中可以看出,每個交換器連接埠都可以處於 4 種模式之一:Access、Dynamic Auto、Dynamic Desirable 或 Trunk。
如果兩個連接埠都配置為存取模式,則連接的交換器將使用存取模式。 如果一個連接埠配置為動態自動,另一個連接埠配置為訪問,則兩個連接埠都將在訪問模式下運作。 如果一個連接埠工作在Access模式,另一個連接埠工作在Trunk模式,則無法連接交換機,因此不能使用這種模式組合。
因此,為了讓中繼運作,必須將其中一個交換器連接埠編程為 Trunk,將另一個連接埠編程為 Trunk、Dynamic Auto 或 Dynamic Desirable。 如果兩個連接埠都配置為“動態所需”,也會形成乾線。
Dynamic Desirable 和 Dynamic Auto 之間的差異在於,在第一種模式下,連接埠本身啟動中繼,將 DTP 訊框傳送到第二個交換器的連接埠。 在第二種模式下,交換器連接埠會等待,直到有人開始與其通信,如果兩個交換器的連接埠都配置為動態自動,則它們之間永遠不會形成中繼。 在 Dynamic Desirable 的情況下,情況相反 - 如果兩個連接埠都配置為此模式,則必須在它們之間形成中繼。
我建議您記住這張表,因為它將幫助您正確配置相互連接的交換器。 讓我們在 Packet Tracer 程式中看看這方面的內容。 我將 3 個交換器串聯連接在一起,現在將在螢幕上顯示每個裝置的 CLI 控制台視窗。
如果我輸入 show int trunk 命令,我們將看不到任何中繼,這在沒有必要設定的情況下是完全自然的,因為所有交換器都配置為動態自動模式。 如果我要求顯示中間交換器的 f0/1 介面參數,您將看到在管理設定模式中列出了動態自動參數。
第三個和第一個交換器具有類似的設定 - 它們的連接埠 f0/1 也處於動態自動模式。 如果您還記得該表,則對於中繼,所有連接埠必須處於中繼模式,或者其中一個連接埠必須處於動態所需模式。
讓我們進入第一台交換器 SW0 的設定並設定連接埠 f0/1。 輸入 switchport mode 指令後,系統會提示您可能的模式參數:access、dynamic 或 trunk。 我使用switchport modedynamicdesirable指令,你可以注意到第二台交換器的trunk埠f0/1在輸入該指令後,先進入down狀態,然後在收到第一台交換器的DTP訊框後,進入down狀態進入向上狀態。
如果我們現在在交換器 SW1 的 CLI 控制台中輸入 show int trunk 指令,我們將看到連接埠 f0/1 處於中繼狀態。 我在交換器SW1的控制台中輸入相同的命令,看到相同的訊息,即現在交換器SW0和SW1之間安裝了一條中繼。 在這種情況下,第一個交換器的連接埠處於所需模式,第二個交換器的連接埠處於自動模式。
第二個和第三個交換器之間沒有連接,因此我進入第三個交換器的設定並輸入命令 switchport modedynamicdesirable。 您會看到,在第二個交換器中,發生了相同的 down-up 狀態變化,只是現在它們觸及了交換器 0 連接的連接埠 f2/3。 現在第二台交換器有兩條中繼:一條在介面 f0/1 上,第二條在介面 f0/2 上。 如果使用 show int trunk 指令可以看到這一點。
第二台交換器的兩個連接埠都處於auto狀態,也就是說,為了與相鄰交換器建立Trunking,它們的連接埠必須處於Trunk或desired模式,因為在這種情況下,建立Trunk的模式只有2種。 使用該表,您始終可以配置交換器端口,以便在它們之間組織中繼。 這就是使用動態叢集協定DTP的本質。
讓我們開始了解 VLAN 中繼協定(VTP)。 此協定確保不同網路設備的 VLAN 資料庫同步,將更新的 VLAN 資料庫從一個裝置傳輸到另一個裝置。 讓我們回到 3 個開關的電路。 VTP可以以3種模式運作:伺服器模式、客戶端模式和透明模式。 VTP v3 還有另一種模式稱為“關閉”,但 Cisco 考試僅涵蓋 VTP 版本 XNUMX 和 XNUMX。
伺服器模式用於透過交換器命令列建立新的 VLAN、刪除或變更網路。 在客戶端模式下,不能對VLAN進行任何操作;在此模式下,僅從伺服器更新VLAN資料庫。 透明模式的作用就像禁用 VTP 協定一樣,即交換器不會發出自己的 VTP 訊息,而是傳輸來自其他交換器的更新 - 如果更新到達其中一個交換器端口,它會通過自身傳遞該訊息並發送它通過另一個連接埠進一步通過網路。 在透明模式下,交換器只是充當其他人訊息的發送者,而不更新自己的VLAN資料庫。
在此投影片上,您將看到在全域設定模式下輸入的 VTP 協定設定指令。 第一個指令可以更改使用的協定版本。 第二條指令選擇 VTP 操作模式。
如果要建立 VTP 網域,請使用 vtp domain <domain name> 指令,要設定 VTP 密碼,需要輸入 vtp password <PASSWORD> 指令。 讓我們到第一台交換器的 CLI 控制台,輸入 show vtp status 指令查看 VTP 狀態。
可以看到VTP協定版本為第二,支援的最大VLAN數為255,現有VLAN數為5,VLAN工作模式為server。 這些都是預設值。 我們已經在第 30 天的課程中討論了 VTP,所以如果您忘記了什麼,可以返回並再次觀看此影片。
要查看 VLAN 資料庫,我發出 show vlan Brief 指令。 此處顯示 VLAN1 和 VLAN1002-1005。 預設情況下,交換器的所有空閒介面都連接到第一個網路 - 23 個快速乙太網路連接埠和 2 個千兆乙太網路端口,其餘 4 個 VLAN 不支援。 其他兩台交換器的 VLAN 資料庫看起來完全相同,只是 SW1 沒有 23 個,而是 22 個可用於 VLAN 的快速乙太網路端口,因為 f0/1 和 f0/2 被中繼佔用。 讓我再次提醒您「第 30 天」課程中討論的內容 - VTP 協定僅支援更新 VLAN 資料庫。
如果我使用 switchport access 和 switchport mode access VLAN10、VLAN20 或 VLAN30 命令將多個連接埠配置為使用 VLAN,則 VTP 將不會複製這些連接埠的配置,因為 VTP 僅更新 VLAN 資料庫。
因此,如果 SW1 連接埠之一配置為與 VLAN20 一起工作,但該網路不在 VLAN 資料庫中,則該連接埠將被停用。 反過來,資料庫更新僅在使用 VTP 協定時發生。
使用 show vtp status 命令,我看到所有 3 個交換器現在都處於伺服器模式。 我將使用 vtp mode secure 指令將中間交換器 SW1 切換到透明模式,使用 vtp mode client 指令將第三個交換器 SW2 切換到客戶端模式。
現在讓我們回到第一個交換器 SW0 並使用 vtp domain <domain name> 指令建立 nwking.org 網域。 如果您現在查看處於透明模式的第二台交換器的 VTP 狀態,您可以看到它對網域的建立沒有任何反應 - VTP 網域欄位仍為空。 然而,處於客戶端模式的第三台交換器更新了其資料庫,現在的網域為 VTP-nwking.org。 這樣,交換器SW0的資料庫的更新就經過了SW1,並反映到了SW2上。
現在我將嘗試更改指定的域名,為此我將轉到 SW0 設定並鍵入 vtp domain NetworKing 命令。 正如您所看到的,這次沒有更新 - 第三台交換器上的 VTP 網域保持不變。 事實上,這樣的網域更新僅在預設網域變更時發生一次。 如果此後 VTP 網域再次更改,則需要在其餘交換器上手動更改。
現在,我將在第一台交換器的 CLI 控制台中建立一個新的 VLAN100 網絡,並將其命名為 IMRAN。 它出現在第一台交換器的VLAN資料庫中,但沒有出現在第三台交換器的資料庫中,因為它們是不同的網域。 請記住,只有當兩台交換器具有相同的網域時才會更新 VLAN 資料庫,或者如我之前所示,設定了新的網域名稱而不是預設名稱。
我進入3個交換器的設定並依序輸入vtp模式和vtp域NetworKing指令。 請注意,名稱輸入區分大小寫,因此兩台交換器的網域拼字必須完全相同。 現在,我使用 vtp 模式客戶端命令將 SW2 返回到客戶端模式。 讓我們看看發生了什麼。 正如您所看到的,現在,如果網域名稱匹配,則SW2資料庫已更新,並且其中出現了新的VLAN100 IMRAN網絡,並且這些變更對普通交換器沒有影響,因為它處於透明模式。
如果您想保護自己免受未經授權的訪問,您可以建立 VTP 密碼。 但是,您必須確保另一端的裝置具有完全相同的密碼,因為只有在這種情況下,它才能夠接受 VTP 更新。
接下來我們要關注的是 VTP 修剪,也就是「修剪」未使用的 VLAN。 如果網路上有 100 台裝置使用 VTP,則一台裝置上的 VLAN 資料庫更新將自動複製到其他 99 台裝置。 但是,並非所有這些設備都具有更新中提到的 VLAN,因此可能不需要有關它們的資訊。
使用 VTP 向設備發送 VLAN 資料庫更新意味著所有設備上的所有連接埠都將收到有關新增、刪除和變更的 VLAN 的信息,而這些資訊可能與它們無關。 同時,網路因流量過多而變得堵塞。 為了防止這種情況發生,使用了 VTP 修剪的概念。 若要在交換器上啟用不相關 VLAN 的「修剪」模式,請使用 vtp pruning 指令。 然後,交換器將自動告訴對方它們實際使用的是哪些 VLAN,從而警告鄰居它們不需要向未連接到它們的網路發送更新。
例如,如果 SW2 沒有任何 VLAN10 端口,則不需要 SW1 發送該網路的流量。 同時,交換器 SW1 需要 VLAN10 流量,因為它的一個連接埠連接到該網絡,但它不需要將此流量傳送到交換器 SW2。
因此,如果 SW2 使用 vtp 修剪模式,它會告訴 SW1:“請不要向我發送 VLAN10 的流量,因為該網路未連接到我,並且我的連接埠均未配置為與該網路配合使用。” 這就是使用 vtp 修剪指令的作用。
還有另一種方法可以過濾特定介面的流量。 它允許您使用特定 VLAN 配置中繼上的連接埠。 這種方法的缺點是需要手動設定每個Trunk端口,需要指定哪些VLAN是允許的,哪些是禁止的。 為此,需要使用 3 個命令序列。 第一個指示受這些限制影響的接口,第二個將此接口轉換為中繼端口,第三個- switchport trunk allowed vlan < all/none/add/remove/VLAN number> - 顯示此端口上允許哪個VLAN: all、none one、要新增的 VLAN 或要刪除的 VLAN。
根據具體情況,您選擇使用什麼:VTP 修剪或允許的 Trunk。 出於安全原因,某些組織不願意使用 VTP,因此他們選擇手動設定中繼。 由於 vtp 修剪命令在 Packet Tracer 中不起作用,因此我將在 GNS3 模擬器中顯示它。
如果進入SW2設定並輸入vtp pruning指令,系統會立即報告此模式已啟用: Pruning Switched on,也就是只需一條指令即可開啟VLAN「修剪」。
如果我們鍵入 show vtp status 指令,我們將看到 vtp 修剪模式已啟用。
如果您要在交換器伺服器上設定此模式,請前往其設定並輸入 vtp 修剪命令。 這意味著連接到伺服器的裝置將自動使用 vtp 修剪來最大程度地減少不相關 VLAN 的中繼流量。
如果您不想使用此模式,則必須登入特定介面(例如 e0/0),然後發出 switchport trunk allowed vlan 命令。 系統將為您提供有關此命令的可能參數的提示:
— WORD — 在中繼模式下該介面允許使用的 VLAN 號碼;
—add—要加入到VLAN資料庫清單中的VLAN;
— all — 允許所有 VLAN;
— except — 允許除指定的 VLAN 之外的所有 VLAN;
— 無 — 禁止所有 VLAN;
— 刪除 — 從 VLAN 資料庫清單中刪除 VLAN。
例如,如果我們有一個允許 VLAN10 的中繼,並且希望允許它用於 VLAN20 網絡,那麼我們需要輸入 switchport trunk allowed vlan add 20 命令。
我想向您展示其他內容,因此我使用 show interface trunk 命令。 請注意,預設情況下,所有 VLAN 1-1005 都允許用於中繼,現在 VLAN10 已新增到其中。
如果我使用 switchport trunk allowed vlan add 20 命令並再次要求顯示中繼狀態,我們可以看到中繼現在允許兩個網路 - VLAN10 和 VLAN20。
在這種情況下,除了那些用於指定網路的流量之外,沒有其他流量能夠通過該主幹。 透過僅允許 VLAN 10 和 VLAN 20 的流量,我們拒絕了所有其他 VLAN 的流量。 以下介紹如何在特定交換器介面上為特定 VLAN 手動設定中繼設定。
請注意,截至 17 年 2017 月 90 日結束之前,在我們的網站上下載有關此主題的實驗室工作的費用可享受 XNUMX% 的折扣。
感謝您的關注,我們下一個視頻課程再見!
感謝您與我們在一起。 你喜歡我們的文章嗎? 想看更多有趣的內容? 通過下訂單或推薦給朋友來支持我們, 在我們為您發明的獨特的入門級服務器模擬上,Habr 用戶可享受 30% 的折扣: (適用於 RAID1 和 RAID10,最多 24 個內核和最多 40GB DDR4)。
戴爾R730xd便宜2倍? 只有這裡 在荷蘭! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 閱讀
來源: www.habr.com