Aujourd'hui, nous allons continuer notre discussion sur le VLAN et discuter du protocole VTP, ainsi que des concepts d'élagage VTP et de VLAN natif. Dans une vidéo précédente, nous avons parlé de VTP, et la première chose qui vous vient à l'esprit lorsque vous entendez parler de VTP est qu'il ne s'agit pas d'un protocole de jonction, malgré ce qu'on appelle un «protocole de jonction VLAN».
Comme vous le savez, il existe deux protocoles de jonction populaires - le protocole propriétaire Cisco ISL, qui n'est pas utilisé aujourd'hui, et le protocole 802.q, qui est utilisé dans les périphériques réseau de divers fabricants pour encapsuler le trafic de jonction. Ce protocole est également utilisé dans les commutateurs Cisco. Nous avons déjà dit que VTP est un protocole de synchronisation VLAN, c'est-à -dire qu'il est conçu pour synchroniser la base de données VLAN dans tous les commutateurs du réseau.
Nous avons mentionné différents modes VTP - serveur, client, transparent. Si l'appareil utilise le mode serveur, cela vous permet d'apporter des modifications, d'ajouter ou de supprimer des VLAN. Le mode client ne permet pas de modifier les paramètres de commutation; vous pouvez configurer une base de données VLAN uniquement via un serveur VTP et elle sera répliquée sur tous les clients VTP. Le commutateur en mode transparent n'apporte pas de modifications à sa propre base de données VLAN, mais passe simplement par lui-même et transmet les modifications au périphérique suivant en mode client. Ce mode est similaire à la désactivation du protocole VTP sur un périphérique spécifique, le transformant en un support d'informations sur les modifications du VLAN.
Revenons à Packet Tracer et à la topologie de réseau discutée dans la leçon précédente. Nous avons configuré le réseau VLAN10 pour le service commercial et le réseau VLAN20 du service marketing, en les combinant avec trois commutateurs.
Entre les commutateurs SW0 et SW1, VLAN20 est connecté, et entre SW0 et SW2, VLAN10 est connecté en raison du fait que nous avons ajouté VLAN10 à la base de données VLAN du commutateur SW1.
Afin de considérer le fonctionnement du protocole VTP, utilisons l'un des commutateurs comme serveur VTP, que ce soit SW0. Si vous vous en souvenez, par défaut, tous les commutateurs fonctionnent en mode serveur VTP. Allons au terminal de ligne de commande du commutateur et entrez la commande show vtp status. Vous voyez la version actuelle du protocole VTP - 2 et le numéro de révision de la configuration 4. Si vous vous souvenez, chaque fois que des modifications sont apportées à la base de données VTP, le numéro de révision est augmenté d'une unité.
Le nombre maximal de VLAN pris en charge est de 255. Ce nombre dépend de la marque d'un commutateur Cisco particulier, car différents commutateurs peuvent prendre en charge un nombre différent de réseaux virtuels locaux. Le nombre de VLAN existants est de 7, dans une minute nous considérerons quel type de réseau. Le mode de gestion VTP est le serveur, le nom de domaine n'est pas défini, le mode d'élagage VTP est désactivé, nous y reviendrons plus tard. Les modes VTP V2 et VTP Traps Generation sont également désactivés. Vous n'avez pas besoin de connaître les deux derniers modes pour réussir l'examen CCNA 200-125, vous n'avez donc pas à vous en préoccuper.
Jetons un coup d'œil à la base de données VLAN, pour laquelle nous utilisons la commande show vlan. Comme nous l'avons vu dans la vidéo précédente, nous avons 4 réseaux non pris en charge: 1002, 1003, 1004 et 1005.
Il répertorie également les 2 VLAN 10 et 20 que nous avons créés et le réseau VLAN1 par défaut. Passons maintenant à un autre commutateur et entrez la même commande pour afficher l'état VTP. Vous voyez que le numéro de révision de ce commutateur est 3, il est en mode serveur VTP et toutes les autres informations sont similaires au premier commutateur. Quand j'entre dans la commande show VLAN, je vais voir que nous avons fait 2 changements dans les paramètres, un de moins que le commutateur SW0, c'est pourquoi le numéro de révision de SW1 est 3. Nous avons fait 3 changements dans les paramètres par défaut du premier commutateur, donc son numéro de révision augmenté à 4.
Voyons maintenant le statut de SW2. Le numéro de révision ici est 1, et c'est étrange. Nous devons avoir une deuxième révision, car 1 modification a été apportée aux paramètres. Regardons la base de données VLAN.
Nous avons apporté une modification en créant un réseau VLAN10, et je ne sais pas pourquoi ces informations n'ont pas été mises à jour. Cela est peut-être dû au fait que nous n'avons pas de véritable réseau, mais un simulateur de réseau logiciel dans lequel il peut y avoir des erreurs. Lorsque vous avez la possibilité de travailler avec de vrais appareils tout en pratiquant chez Cisco, cela vous aidera davantage que le simulateur Packet Tracer. Une autre chose utile en l'absence de vrais périphériques serait GNC3, ou le simulateur de réseau Cisco. Il s'agit d'un émulateur qui utilise le véritable système d'exploitation de l'appareil, par exemple un routeur. Il y a une différence entre le simulateur et l'émulateur - le premier est un programme qui ressemble à un vrai routeur, mais ce n'est pas le cas. L'émulateur crée par programme uniquement le périphérique lui-même, mais utilise de vrais logiciels pour son fonctionnement. Mais si vous n'avez pas la possibilité de travailler avec de vrais logiciels Cisco IOS, la meilleure option serait Packet Tracer.
Donc, nous devons configurer SW0 en tant que serveur VTP, pour cela, je passe en mode de configuration globale et entrez la commande vtp version 2. Comme je l'ai dit, nous pouvons installer la version du protocole dont nous avons besoin - 1 ou 2, dans ce cas, nous besoin d'une deuxième version. Ensuite, avec la commande vtp mode, nous définissons le mode VTP du commutateur - serveur, client ou transparent. Dans ce cas, nous avons besoin du mode serveur, et après avoir entré la commande serveur vtp mode, le système affiche un message indiquant que le périphérique est déjà en mode serveur. Ensuite, nous devons configurer le domaine VTP, pour lequel nous utilisons la commande vtp domain nwking.org. Pourquoi est-ce nécessaire? S'il existe un autre appareil avec un numéro de révision plus élevé sur le réseau, tous les autres appareils avec une révision inférieure commencent à répliquer la base de données VLAN à partir de cet appareil. Cependant, cela ne se produit que lorsque les appareils ont le même nom de domaine. Par exemple, si vous travaillez dans nwking.org, vous spécifiez ce domaine, si dans Cisco, alors le domaine est Cisco.com, et ainsi de suite. Le nom de domaine des appareils de votre entreprise vous permet de les distinguer des appareils d'une autre entreprise ou de tout autre appareil réseau externe. Si vous attribuez un nom de domaine d'entreprise à un appareil, vous l'intégrez au réseau de l'entreprise.
La prochaine chose à faire est de définir un mot de passe VTP. Il est nécessaire pour qu'un pirate, ayant un appareil avec un grand numéro de révision, ne puisse pas copier ses paramètres VTP sur votre commutateur. J'entre le mot de passe cisco à l'aide de la commande vtp password cisco. Après cela, la réplication des données VTP entre les commutateurs ne sera possible que si les mots de passe correspondent. Si le mauvais mot de passe est utilisé, la base de données VLAN ne sera pas mise à jour.
Essayons de créer des VLAN supplémentaires. Pour ce faire, j'utilise la commande config t, utilise la commande vlan 200 pour créer un réseau avec le numéro 200, nommez-le TEST et enregistrez les modifications avec la commande exit. Ensuite, je crée un autre réseau vlan 500 et l'appelle TEST1. Si vous entrez maintenant la commande show vlan, alors dans la table de réseau virtuel du commutateur, vous pouvez voir ces deux nouveaux réseaux auxquels aucun port n'est affecté.
Passons à SW1 et voyons son statut VTP. Nous voyons que rien n'a changé ici, à l'exception du nom de domaine, le nombre de VLAN est resté égal à 7. Nous ne voyons pas l'apparence des réseaux que nous avons créés, car le mot de passe VTP ne correspond pas. Définissons le mot de passe VTP sur ce commutateur en entrant successivement les commandes conf t, vtp pass et vtp password cisco. Le système a émis un message indiquant que la base de données VLAN du périphérique utilise désormais le mot de passe Cisco. Examinons à nouveau l'état du VTP pour vérifier si les informations ont été répliquées. Comme vous pouvez le voir, le nombre de VLAN existants a automatiquement augmenté à 9.
Si vous regardez la base de données VLAN de ce commutateur, vous pouvez voir que les réseaux VLAN200 et VLAN500 que nous avons créés y apparaissent automatiquement.
La même chose doit être faite avec le dernier interrupteur SW2. Entrons dans la commande show vlan - vous voyez qu'il n'y a eu aucun changement. De même, il n'y a aucun changement dans le statut VTP. Pour que ce commutateur mette à jour les informations, vous devez également configurer un mot de passe, c'est-à -dire saisir les mêmes commandes que pour SW1. Après cela, le nombre de VLAN dans l'état SW2 passera à 9.
C'est à cela que sert le protocole VTP. C'est une excellente chose, car elle fournit une mise à jour automatique des informations sur tous les périphériques réseau clients après avoir apporté des modifications au périphérique serveur. Vous n'avez pas besoin de modifier manuellement la base de données VLAN de tous les commutateurs - la réplication se produit automatiquement. Si vous disposez de 200 périphériques réseau, vos modifications seront enregistrées simultanément sur les 200 périphériques. Juste au cas où, nous devons nous assurer que SW2 est également un client VTP, alors allez dans les paramètres avec la commande config t et entrez la commande client vtp mode.
Ainsi, dans notre réseau, seul le premier commutateur est en mode serveur VTP, les deux autres sont en mode client VTP. Si maintenant je vais dans les paramètres de SW2 et saisis la commande vlan 1000, je reçois le message: "La configuration VTP VLAN n'est pas autorisée lorsque l'appareil est en mode client." Par conséquent, je ne peux apporter aucune modification à la base de données VLAN si le commutateur est en mode client VTP. Si je veux apporter des modifications, je dois aller sur le serveur de commutation.
J'entre dans les paramètres du terminal SW0 et saisis les commandes vlan 999, nomme IMRAN et quitte. Ce nouveau réseau est apparu dans la base de données VLAN de ce commutateur, et si je vais maintenant dans la base de données du client de commutateur SW2, je verrai que les mêmes informations sont apparues ici, c'est-à -dire que la réplication s'est produite.
Comme je l'ai dit, VTP est un excellent logiciel, mais s'il n'est pas utilisé correctement, ce protocole peut perturber l'ensemble du réseau. Par conséquent, vous devez être très prudent avec le réseau de l'entreprise si le nom de domaine et le mot de passe VTP ne sont pas spécifiés. Dans ce cas, tout ce dont le pirate a besoin est d'insérer le câble de son interrupteur dans une prise murale sur le mur, de se connecter à n'importe quel commutateur de bureau en utilisant le protocole DTP puis, en utilisant le coffre créé, de mettre à jour toutes les informations en utilisant le protocole VTP. Ainsi, le pirate pourra supprimer tous les VLAN importants, profitant du fait que le numéro de révision de son appareil est supérieur au numéro de révision des commutateurs restants. Dans le même temps, les commutateurs d'entreprise remplaceront automatiquement toutes les informations de la base de données VLAN par des informations répliquées à partir d'un commutateur malveillant, et l'ensemble de votre réseau s'effondrera.
Cela est dû au fait que les ordinateurs utilisant un câble réseau sont connectés à un port de commutateur spécifique auquel VLAN 10 ou VLAN20 est connecté. Si ces réseaux sont supprimés de la base de données LAN du commutateur, il déconnectera automatiquement le port appartenant à un réseau inexistant. En règle générale, le réseau d'une entreprise peut se bloquer précisément parce que les commutateurs désactivent simplement les ports associés au VLAN qui ont été supprimés lors de la prochaine mise à jour.
Afin d'éviter qu'un tel problème ne se produise, vous devez définir le nom de domaine et le mot de passe VTP ou utiliser la fonction Cisco Port Security, qui vous permet de gérer les adresses MAC des ports de commutateur en introduisant diverses restrictions sur leur utilisation. Par exemple, si quelqu'un d'autre essaie de changer l'adresse MAC, le port s'arrête immédiatement. Très bientôt, nous apprendrons à connaître cette fonctionnalité des commutateurs Cisco de très près, et maintenant il vous suffit de savoir que la sécurité des ports vous permet de vous assurer que VTP est protégé contre un attaquant.
Résumez le paramètre VTP. Ce choix de version de protocole est 1 ou 2, le but du mode VTP est serveur, client ou transparent. Comme je l'ai dit, le dernier mode ne met pas à jour la base de données VLAN de l'appareil lui-même, mais transmet simplement toutes les modifications aux appareils voisins. Voici les commandes pour attribuer un nom de domaine et un mot de passe: domaine vtp <nom de domaine> et mot de passe vtp <mot de passe>.
Parlons maintenant des paramètres d'élagage VTP. Si vous regardez la topologie du réseau, vous pouvez voir que les trois commutateurs ont la même base de données VLAN, ce qui signifie que VLAN10 et VLAN20 font partie des 3 commutateurs. Techniquement, le commutateur SW2 n'a pas besoin d'un réseau VLAN20, car il n'a pas de ports liés à ce réseau. Cependant, indépendamment de cela, tout le trafic envoyé depuis l'ordinateur Laptop0 via VLAN20 va vers le commutateur SW1 et de là vers les ports SW2 via un tronc. Votre tâche principale en tant que spécialiste du réseau est de vous assurer que le moins de données possible est transmis sur le réseau. Vous devez assurer le transfert des données nécessaires, mais comment limiter le transfert d'informations qui ne sont pas nécessaires pour cet appareil?
Vous devez vous assurer que le trafic destiné aux périphériques VLAN20 n'ira pas aux ports SW2 via le tronc lorsqu'il n'est pas nécessaire. Autrement dit, le trafic Laptop0 doit atteindre SW1 et plus loin vers les ordinateurs du réseau VLAN20, mais ne doit pas dépasser le port de jonction droit de SW1. Ceci peut être réalisé en utilisant l'élagage VTP.
Pour ce faire, nous devons entrer dans les paramètres du serveur VTP SW0, car, comme je l'ai déjà dit, les paramètres VTP ne peuvent être définis que via le serveur, accédez aux paramètres de configuration globale et tapez la commande d'élagage vtp. Étant donné que Packet Tracer n'est qu'un simulateur, il n'y a aucune commande de ce type dans ses invites de ligne de commande. Cependant, lorsque je tape l'élagage vtp et que j'appuie sur "Entrée", le système signale que l'élagage vtp n'est pas disponible.
En utilisant la commande show vtp status, nous verrons que le mode d'élagage VTP est dans l'état désactivé, nous devons donc le rendre disponible en le déplaçant vers la position d'activation. Cela fait, nous activons le mode d'élagage VTP sur les trois commutateurs de notre réseau dans le domaine du réseau.
Permettez-moi de vous rappeler ce qu'est l'élagage VTP. Lorsque nous activons ce mode, le serveur de commutation SW0 indique au commutateur SW2 que seul VLAN10 est configuré sur ses ports. Après cela, le commutateur SW2 informe le commutateur SW1 qu'il n'a besoin d'aucun trafic autre que le trafic destiné au réseau VLAN10. Maintenant, grâce à l'élagage VTP, le commutateur SW1 dispose des informations dont il n'a pas besoin pour envoyer le trafic VLAN20 sur le tronc SW1-SW2.
En tant qu'administrateur réseau, cela est très pratique pour vous. Vous n'avez pas besoin d'entrer manuellement des commandes, car le commutateur est suffisamment intelligent pour envoyer exactement ce dont un périphérique réseau particulier a besoin. Si demain vous placerez une autre unité de marketing dans un bâtiment voisin et connecterez son réseau VLAN20 au commutateur SW2, ce commutateur informera immédiatement le commutateur SW1 qu'il dispose désormais de réseaux VLAN10 et VLAN20 et vous demandera de lui transférer du trafic pour les deux réseaux. Ces informations sont constamment mises à jour sur tous les appareils, ce qui rend la communication plus efficace.
Il existe une autre façon de spécifier le transfert de trafic - utilisez une commande qui autorise le transfert de données uniquement pour le VLAN spécifié. J'entre dans les réglages du switch SW1, où je m'intéresse au port Fa0 / 4, et entre les commandes int fa0 / 4 et switchport trunk autorisé vlan. Étant donné que je sais déjà que SW2 n'a que VLAN10, je peux spécifier le commutateur SW1 de sorte que son port de jonction autorise uniquement le trafic pour ce réseau à passer en utilisant la commande vlan autorisée. Ainsi, j'ai programmé le port de jonction Fa0 / 4 pour transmettre le trafic pour VLAN10 uniquement. Cela signifie que ce port ne passera pas de trafic supplémentaire VLAN1, VLAN20 ou tout autre réseau à l'exception de celui spécifié.
Vous pouvez demander ce qui est préférable d'utiliser - l'élagage VTP ou la commande vlan autorisée. La réponse est subjective, car dans certains cas, il est logique d'utiliser la première méthode, et dans certains - la seconde. En tant qu'administrateur réseau, vous devez vous-même choisir la meilleure solution. Dans certains cas, la décision de programmer le port pour autoriser le trafic pour un VLAN spécifique peut être bonne, mais dans certains cas, elle peut être mauvaise. Dans le cas de notre réseau, l'utilisation de la commande vlan autorisée peut être garantie si nous n'allons pas changer la topologie du réseau. Mais si quelqu'un souhaite par la suite ajouter un groupe d'appareils utilisant VLAN20 à SW 2, il est préférable d'appliquer le mode d'élagage VTP.
Ainsi, la configuration de l'élagage VTP consiste à utiliser les commandes suivantes. La commande d'élagage vtp permet d'utiliser automatiquement ce mode. Si vous souhaitez configurer l'élagage VTP du port de jonction pour transmettre manuellement le trafic d'un VLAN spécifique, puis utilisez la commande pour sélectionner l'interface du numéro de port de jonction <#>, activez la jonction de mode de port de commutation de mode de jonction et activez le trafic d'un réseau spécifique à l'aide de la vlan autorisée de jonction de jonction de jonction < tout / aucun / ajouter / supprimer / #>.
Vous pouvez utiliser 5 paramètres dans la dernière commande. Tout signifie que le trafic est autorisé pour tous les VLAN, aucun - le trafic n'est pas autorisé pour tous les VLAN. Si vous utilisez le paramètre add, vous pouvez ajouter un passage de trafic pour un autre réseau. Par exemple, nous avons autorisé le trafic VLAN10, et avec la commande add, vous pouvez également autoriser le passage du trafic réseau VLAN20. La commande remove vous permet de supprimer l'un des réseaux, par exemple, si vous utilisez le paramètre remove 20, seule la transmission du trafic VLAN10 reste.
Considérons maintenant le VLAN natif. Nous avons déjà dit que le VLAN natif est un réseau virtuel pour faire passer le trafic non balisé via un port de jonction spécifique.
J'entre dans les paramètres d'un port spécifique, comme indiqué par l'en-tête de ligne de commande SW (config-if) #, et j'utilise la commande switchport trunk native vlan <numéro de réseau>, par exemple, VLAN10. Maintenant, tout le trafic VLAN10 passera par la balise sans étiquette.
Retour à la topologie de réseau logique dans la fenêtre Packet Tracer. Si j'utilise la commande switchport trunk native vlan 20 pour le port du commutateur Fa0 / 4, alors tout le trafic réseau VLAN20 passera par le tronc Fa0 / 4 - SW2 sans étiquette. Lorsque le commutateur SW2 reçoit ce trafic, il pense: «il s'agit d'un trafic non balisé, je dois donc le transmettre au VLAN natif». Pour ce commutateur, le VLAN natif est le réseau VLAN1. Les réseaux 1 et 20 ne sont en aucun cas connectés, mais comme le mode VLAN natif est utilisé, nous avons la possibilité d'acheminer le trafic VLAN20 vers un réseau complètement différent. Cependant, ce trafic ne sera pas encapsulé et les réseaux eux-mêmes devraient toujours correspondre.
Regardons un exemple. Je vais entrer dans les paramètres SW1 et utiliser la commande switchport trunk native vlan 10. Maintenant, tout trafic VLAN10 proviendra du port de jonction sans étiquette. Lorsqu'il atteint le port de jonction SW2, le commutateur comprend qu'il doit le transmettre au VLAN1. Grâce à cette solution, le trafic ne pourra pas atteindre les ordinateurs PC2, 3 et 4, car ils sont connectés aux ports d'accès du commutateur destinés au VLAN10.
, native VLAN Fa0/4, VLAN10, Fa0/1, VLAN1. , - native VLAN.
Merci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? ,
30% entry-level , : VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps $20 ? (les options sont disponibles avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher? Nous avons seulement
2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV Ă partir de 199 $ aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - Ă partir de 99 $! Pour en savoir plus sur la
création d'un bâtiment d'infrastructure. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?