Aujourd'hui, nous examinons le protocole de jonction dynamique DTP et VTP - le protocole de jonction VLAN. Comme je l'ai dit dans la dernière leçon, nous suivrons les sujets de l'examen ICND2 dans l'ordre dans lequel ils apparaissent sur le site Web de Cisco.
La dernière fois que nous avons examiné le point 1.1, nous examinons aujourd'hui le point 1.2 - configuration, vérification et dépannage des connexions de commutateur réseau: ajout et suppression de VLAN d'un tronc et protocoles DTP et VTP versions 1 et 2.
Tous les ports du commutateur «prêts à l'emploi» sont configurés par défaut pour utiliser le mode Dynamic Auto du protocole DTP. Cela signifie que lorsque deux ports de commutateurs différents sont connectés entre eux, la jonction s'active automatiquement si l'un des ports est en jonction ou en mode souhaité. Si les ports des deux commutateurs sont en mode Dynamic Auto, une jonction ne se formera pas.
Ainsi, tout dépend du réglage des modes de fonctionnement de chacun des 2 interrupteurs. Pour faciliter la compréhension, j'ai fait un tableau des combinaisons possibles des modes DTP de deux commutateurs. Vous voyez que si les deux commutateurs utilisent Dynamic Auto, ils ne formeront pas un tronc, mais resteront en mode d'accès. Par conséquent, si vous souhaitez créer une jonction entre deux commutateurs, vous devez programmer au moins l'un des commutateurs en mode jonction ou programmer le port de jonction pour utiliser le mode dynamique souhaité. Comme le montre le tableau, chacun des ports de commutateur peut être dans l'un des 4 modes: accès, dynamique automatique, dynamique souhaitable ou tronc.
Si les deux ports sont configurés pour Access, les commutateurs connectés utiliseront le mode Access. Si un port est configuré pour Dynamic Auto et l'autre pour Access, les deux fonctionneront en mode Access. Si un port fonctionne en mode Access et l'autre en mode Trunk, il ne sera pas possible de connecter les commutateurs, donc cette combinaison de modes ne peut pas être utilisée.
Ainsi, pour que la jonction fonctionne, l'un des ports du commutateur doit être programmé sur la jonction et l'autre sur la jonction, Dynamic Auto ou Dynamic Desirable. Une jonction se forme également si les deux ports sont configurés pour Dynamic Desirable.
La différence entre Dynamic Desirable et Dynamic Auto est que dans le premier mode, le port lui-même initie la jonction en envoyant des trames DTP au port du deuxième commutateur. Dans le deuxième mode, le port du commutateur attend que quelqu'un commence à lui parler, et si les ports des deux commutateurs sont définis sur Dynamic Auto, une jonction ne se formera jamais entre eux. Dans le cas de Dynamic Desirable, il y a une situation inverse - si les deux ports sont configurés pour ce mode, une jonction se formera nécessairement entre eux.
Je vous conseille de vous souvenir de ce tableau, car il vous aidera à configurer correctement les commutateurs connectés les uns aux autres. Examinons cet aspect dans Packet Tracer. J'ai connecté séquentiellement 3 commutateurs ensemble et maintenant j'afficherai les fenêtres de la console CLI pour chacun de ces périphériques à l'écran.
Si j'entre dans la commande show int trunk, nous ne verrons aucun tronc, ce qui est tout à fait naturel en l'absence des paramètres nécessaires, car tous les commutateurs sont configurés pour le mode Dynamic Auto. Si je vous demande d'afficher les paramètres de l'interface f0 / 1 du commutateur central, vous verrez qu'en mode de configuration administrative, le paramètre dynamique automatique est affiché.
Les troisième et premier commutateurs ont des paramètres similaires - ils ont également le port f0 / 1 en mode automatique dynamique. Si vous vous souvenez du tableau, pour la jonction, tous les ports doivent être en mode jonction ou l'un des ports doit être en mode dynamique souhaitable.
Entrons dans les paramètres du premier commutateur SW0 et configurons le port f0 / 1. Après avoir entré la commande switchport mode, le système donnera des indications sur les paramètres de mode possibles: access, dynamic ou trunk. J'utilise la commande désirable dynamique du mode switchport, alors que vous pouvez remarquer comment le port de jonction f0 / 1 du deuxième commutateur après avoir entré cette commande est d'abord descendu, puis, après avoir reçu la trame DTP du premier commutateur, est monté.
Si nous entrons maintenant la commande show int trunk dans la console CLI du commutateur SW1, nous verrons que le port f0 / 1 est dans un état de jonction. J'entre la même commande dans la console du commutateur SW1 et vois les mêmes informations, c'est-à-dire qu'un tronc est maintenant installé entre les commutateurs SW0 et SW1. Le port du premier commutateur est en mode souhaitable et le port du second est en mode automatique.
Il n'y a pas de connexion entre les deuxième et troisième commutateurs, donc je vais dans les paramètres du troisième commutateur et j'entre dans la commande souhaitable dynamique du mode switchport. Vous voyez que dans le deuxième commutateur, les mêmes changements d'état vers le bas se sont produits, seulement maintenant ils touchent le port f0 / 2, auquel 3 commutateurs sont connectés. Maintenant, le deuxième commutateur a deux troncs: un sur l'interface f0 / 1, le second sur f0 / 2. Cela peut être vu en utilisant la commande show int trunk.
Les deux ports du deuxième commutateur sont en état automatique, c'est-à-dire que pour la jonction avec des commutateurs voisins, leurs ports doivent être en jonction ou en mode souhaitable, car dans ce cas, il n'y a que 2 modes pour installer la jonction. À l'aide du tableau, vous pouvez toujours configurer les ports des commutateurs de manière à organiser une jonction entre eux. C'est l'essence même de l'utilisation du protocole d'agrégation DTP dynamique.
Passons au protocole de jonction VLAN, ou VTP. Ce protocole assure la synchronisation des bases de données VLAN de différents périphériques réseau, en transférant la base de données VLAN mise à jour d'un périphérique à un autre. Revenons à notre schéma de 3 commutateurs. VTP peut fonctionner en 3 modes: serveur, client et transparent. VTP v3 a un autre mode appelé Off, mais seules les première et deuxième versions de VTP sont couvertes dans la rubrique d'examen Cisco.
Le mode serveur est utilisé pour créer de nouveaux VLAN, supprimer ou modifier des réseaux via la ligne de commande du commutateur. En mode client, aucune opération ne peut être effectuée sur le VLAN; dans ce mode, seule la base de données VLAN est mise à jour à partir du serveur. Le mode transparent agit comme si le protocole VTP est désactivé, c'est-à-dire que le commutateur n'émet pas ses propres messages VTP, mais envoie des mises à jour à partir d'autres commutateurs - si la mise à jour arrive sur l'un des ports du commutateur, elle la passe par elle-même et l'envoie plus loin sur le réseau via un autre port . En mode transparent, le commutateur sert simplement de transmetteur des messages d'autres personnes, sans mettre à jour sa propre base de données VLAN.
Sur cette diapositive, vous voyez les commandes de configuration du protocole VTP entrées en mode de configuration globale. La première commande vous permet de changer la version de protocole utilisée. La deuxième commande sélectionne le mode de fonctionnement VTP.
Si vous souhaitez créer un domaine VTP, utilisez la commande vtp domain <nom de domaine> et pour définir le mot de passe VTP, vous devez entrer la commande vtp password <MOT DE PASSE>. Allons à la console CLI du premier commutateur et examinons l'état VTP en émettant la commande show vtp status.
Vous voyez la version du protocole VTP - la seconde, le nombre maximal de VLAN pris en charge est de 255, le nombre de VLAN existants est de 5 et le mode de fonctionnement du VLAN est le serveur. Ce sont tous des paramètres par défaut. Nous avons déjà discuté du VTP dans la leçon du 30e jour. Si vous oubliez quelque chose, vous pouvez revenir et revoir cette vidéo.
Afin de voir la base de données VLAN, j'entre la commande show vlan brief. Voici les VLAN1 et VLAN1002-1005. Par défaut, toutes les interfaces de commutation gratuites sont connectées au premier réseau - 23 ports Fast Ethernet et 2 ports Gigabit Ethernet, les 4 VLAN restants ne sont pas pris en charge. Les bases de données VLAN des deux autres commutateurs ont exactement la même apparence, sauf que SW1 n'avait pas 23 mais 22 ports Fast Ethernet laissés libres pour les VLAN, car f0 / 1 et f0 / 2 sont occupés par des trunks. Permettez-moi de vous rappeler à nouveau ce qui a été discuté dans la leçon «Jour 30» - le protocole VTP ne prend en charge que la mise à jour des bases de données VLAN.
Si je configure plusieurs ports pour fonctionner avec des VLAN avec les commandes d'accès au port commutateur et d'accès au mode commutateur VLAN10, VLAN20 ou VLAN30, la configuration de ces ports ne sera pas répliquée à l'aide de VTP car VTP met à jour uniquement la base de données VLAN.
Donc, si l'un des ports SW1 est configuré pour fonctionner avec VLAN20, mais que ce réseau ne se trouve pas dans la base de données VLAN, le port sera désactivé. À leur tour, les mises à jour de la base de données se produisent uniquement lors de l'utilisation du protocole VTP.
En utilisant la commande show vtp status, je peux voir que les 3 commutateurs sont maintenant en mode serveur. Je vais basculer le commutateur central SW1 en mode transparent avec la commande transparente vtp mode, et le troisième commutateur SW2 en mode client avec la commande client vtp mode.
Revenons maintenant au premier commutateur SW0 et créons le domaine nwking.org à l'aide de la commande vtp domain <nom de domaine>. Si vous regardez maintenant l'état du VTP du deuxième commutateur, qui est en mode transparent, vous pouvez voir qu'il n'a pas réagi à la création du domaine - le champ Nom de domaine VTP est resté vide. Cependant, le troisième commutateur, qui est en mode client, a mis à jour sa base de données et il a le nom de domaine VTP-nwking.org. Ainsi, la mise à jour de la base de données de commutateurs SW0 est passée par SW1 et a affecté SW2.
Maintenant, je vais essayer de changer le nom de domaine donné, pour lequel j'entre dans les paramètres de SW0 et saisis la commande vtp domain NetworKing. Comme vous pouvez le voir, cette fois la mise à jour n'a pas eu lieu - le nom de domaine VTP sur le troisième commutateur est resté le même. Le fait est qu'une telle mise à jour de nom de domaine ne se produit qu'une seule fois lorsque le domaine par défaut est modifié. Si après cela, le nom de domaine VTP change à nouveau, sur les autres commutateurs, il devra être modifié manuellement.
Je vais maintenant créer un nouveau réseau VLAN100 dans la console CLI du premier commutateur et l'appeler IMRAN. Il est apparu dans la base de données VLAN du premier commutateur, mais n'est pas apparu dans la base de données du troisième commutateur, car ce sont des domaines différents. N'oubliez pas que la base de données VLAN n'est mise à jour que si les deux commutateurs ont le même domaine ou, comme je l'ai montré précédemment, un nouveau nom de domaine est défini à la place du nom par défaut.
J'entre dans les paramètres de 3 commutateurs et entre séquentiellement le mode vtp et les commandes de réseau vtp NetworKing. Veuillez noter que la saisie du nom est sensible à la casse, l'orthographe du nom de domaine doit donc être exactement la même pour les deux commutateurs. Maintenant, je mets à nouveau SW2 en mode client en utilisant la commande client vtp mode. Voyons ce qui se passe. Comme vous pouvez le voir, maintenant, lorsque le nom de domaine coïncide, la base de données SW2 a été mise à jour et un nouveau VLAN100 IMRAN y est apparu, et ces modifications n'ont en aucune façon affecté le commutateur moyen, car il est en mode transparent.
Si vous souhaitez vous protéger contre les accès non autorisés, vous pouvez créer un mot de passe VTP. Dans ce cas, vous devez être sûr que l'appareil de l'autre côté aura exactement le même mot de passe, car ce n'est que dans ce cas qu'il pourra recevoir les mises à jour VTP.
La prochaine chose que nous considérerons est l'élagage VTP, ou «découpage» des VLAN inutilisés. Si vous avez 100 appareils utilisant le protocole VTP sur votre réseau, la mise à jour de la base de données VLAN d'un appareil sera automatiquement répliquée sur les 99 autres appareils. Cependant, tous ces périphériques ne disposent pas des VLAN mentionnés dans la mise à jour, de sorte que des informations à leur sujet peuvent ne pas être nécessaires.
\
La distribution des mises à jour de la base de données VLAN aux appareils utilisant VTP signifie que tous les ports de tous les appareils recevront des informations sur les VLAN ajoutés, supprimés et modifiés, auxquels ils n'auront peut-être rien à faire. Dans le même temps, le réseau est obstrué par un trafic excessif. Pour éviter cela, le concept d'élagage VTP est utilisé. Afin d'activer le mode de "découpage" des VLAN non pertinents sur le commutateur, la commande d'élagage vtp est utilisée. Après cela, les commutateurs s'informent automatiquement les uns des autres des VLAN qu'ils utilisent réellement, avertissant ainsi les voisins qu'ils n'ont pas besoin d'envoyer de mises à jour aux réseaux qui ne leur sont pas connectés.
Par exemple, si SW2 n'a pas de ports VLAN10, il n'a pas besoin de SW1 pour lui envoyer du trafic pour ce réseau. Dans le même temps, le commutateur SW1 a besoin du trafic VLAN10, car l'un de ses ports est connecté à ce réseau, il n'a tout simplement pas besoin d'envoyer ce trafic au commutateur SW2.
Par conséquent, si SW2 utilise le mode d'élagage vtp, il indique à SW1: "veuillez ne pas m'envoyer de trafic pour VLAN10 car ce réseau n'est pas connecté à moi et aucun de mes ports n'est configuré pour fonctionner avec ce réseau." Voici ce que donne la commande d'élagage vtp.
Il existe une autre façon de filtrer le trafic pour une interface spécifique. Il vous permet de configurer le port sur un tronc avec un VLAN spécifique. L'inconvénient de cette méthode est la nécessité de configurer manuellement chaque port de jonction, qui devra indiquer quels VLAN sont autorisés et lesquels sont interdits. Pour cela, une séquence de 3 équipes est utilisée. Le premier indique l'interface que ces restrictions concernent, le second transforme cette interface en un port de jonction, et le troisième - switchport trunk allowed vlan <all / none / add / remove / VLAN number> - indique quel VLAN est autorisé sur ce port: all, none un, VLAN ajouté ou VLAN supprimé.
En fonction de la situation spécifique, vous choisissez quoi utiliser: élagage VTP ou tronc autorisé. Certaines organisations préfèrent ne pas utiliser VTP pour des raisons de sécurité et choisissent donc de configurer manuellement la jonction. Étant donné que la commande d'élagage vtp ne fonctionne pas dans Packet Tracer, je vais l'afficher dans l'émulateur GNS3.
Si vous entrez dans les paramètres de SW2 et entrez la commande d'élagage vtp, le système vous informera immédiatement que ce mode est activé: L'élagage est activé, c'est-à-dire que le "découpage" VLAN est activé avec une seule commande.
Si nous tapons la commande show vtp status, nous voyons que le mode d'élagage vtp est activé.
Si vous configurez ce mode sur le serveur de commutation, accédez à ses paramètres et entrez la commande d'élagage vtp. Cela signifie que les périphériques connectés au serveur utiliseront automatiquement l'élagage vtp pour minimiser le trafic de jonction pour les VLAN obsolètes.
Si vous ne souhaitez pas utiliser ce mode, vous devez entrer une interface spécifique, par exemple, e0 / 0, puis taper la commande vlan de switchport trunk allowed. Le système vous donnera des conseils sur les paramètres possibles de cette commande:
- WORD - Numéro VLAN qui sera résolu sur cette interface en mode trunk;
- add - VLAN à ajouter à la liste des bases de données VLAN;
- all - active tous les VLAN;
- except - autorise tous les VLAN à l'exception de ceux spécifiés;
- aucun - désactiver tous les VLAN;
- supprimer - supprimer le VLAN de la liste de la base de données VLAN.
Par exemple, si nous avons un trunk activé pour VLAN10 et que nous voulons l'activer pour VLAN20, vous devez entrer la commande switchport trunk allowed vlan add 20.
Je veux vous montrer autre chose, donc j'utilise la commande show interface trunk. Notez que par défaut, tous les VLAN 1-1005 étaient autorisés pour le tronc, et maintenant VLAN10 leur a été ajouté.
Si j'utilise la commande switchport trunk allowed vlan add 20 et demande à nouveau d'afficher l'état du tronc, nous verrons que maintenant deux réseaux sont autorisés pour le tronc - VLAN10 et VLAN20.
Dans le même temps, aucun trafic autre que celui destiné aux réseaux indiqués ne peut transiter par ce tronc. En autorisant le trafic uniquement pour les VLAN 10 et VLAN 20, nous avons refusé le trafic pour tous les autres VLAN. Voici comment configurer manuellement les paramètres de jonction pour un VLAN spécifique sur une interface de commutateur spécifique.
Veuillez noter que jusqu'à la fin de la journée du 17 novembre 2017, notre site bénéficie d'une remise de 90% sur le coût de téléchargement des travaux de laboratoire sur ce sujet.
Merci et à la prochaine vidéo tutoriel!
Merci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? Soutenez-nous en passant une commande ou en le recommandant à vos amis, une
réduction de 30% pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme que nous avons inventés pour vous: Toute la vérité sur VPS (KVM) E5-2650 v4 (6 cœurs) 10 Go DDR4 240 Go SSD 1 Gbps à partir de 20 $ ou comment diviser le serveur? (les options sont disponibles avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher? Nous avons seulement
2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV à partir de 199 $ aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99 $! Pour en savoir plus sur la
création d'un bâtiment d'infrastructure. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?