今天的课程将专门介绍高级VLAN学习。 在开始之前,我再次提醒您,以便您不要忘记与朋友和我们的YouTube频道和Facebook上的群组分享这些视频。 今天,我们将探讨三个主题:本机VLAN,VTP(VLAN中继协议)和VTP修剪。 首先,回想一下什么是中继,然后触摸最后两个视频教程中的主题。
因此,干线是一种连接,我们用于将一台交换机与另一台交换机相连。 VLAN是一项仅适用于交换机的技术,但是,任何使用封装语言并使用.1Q协议与交换机关联的设备都可以理解与VLAN相关的所有信息。 计算机对此技术一无所知。
在上图中,PC1,PC2和PC4是蓝色VLAN的一部分,正如您在上一课中记得的那样,这是VLAN10。 用蓝色表示的线路本身与VLAN无关,因为VLAN仅接触交换机端口。 因此,左交换机的两个端口都属于VLAN10,并且任何传入或传出流量仅与此网络相关联。 交换机知道这些蓝色端口上的流量与红色端口无关,因为这是两条不同的虚拟线路。
VLAN是交换机的概念,因此每个交换机都支持创建和存储虚拟网络数据库。 该表指示哪个端口对应于特定的VLAN。 因此,如果交换机接收到PC1的流量,它将检查该流量是否为VLAN10的一部分并将其转发给计算机。 如果来自PC1的流量是针对PC4的,则交换机会将其路由通过SW1-SW2中继。 流量一进入第一台交换机的中继端口,它就为帧提供VLAN TAG报头,其中包含VLAN ID,在我们的示例中为10。在收到此流量之后,第二台交换机读取帧信息,发现它是VLAN10流量,并对其进行路由。到PC4的蓝色端口。
因此,中继是在两个交换机之间传输流量的过程,VLAN TAGS是帧标头,用于标识特定的虚拟网络并指示该流量应定向到哪个网络。 如果误将蓝色流量通过红线传到计算机,他甚至不知道如何读取它。 就像某人正在与不懂该语言的人说外语一样。 因此,计算机完全无法识别VLAN标签。 PC3计算机通过访问端口连接到交换机,而我们提到的流量只能通过中继端口发送。
所有这些都是交换机所属的OSI模型第二级的功能。 为了更好地理解VLAN和标签的本质,我们必须像交换机一样思考。 假设一个交换机是一个有5人的房间,而您是该房间的所有者。 数字1,2和4下的三个人属于同一组,数字3和5下的两个人属于另一组,您的职责是确保只有属于同一组的人才能互相交谈。
我们继续讨论本地VLAN的概念。 如前所述,每个交换机端口都与一个特定的VLAN相关联。
例如,第一个交换机的两个端口连接到VLAN10,第三个访问端口连接到VLAN20,第四个是中继端口。 同样,SW2通过VLAN10端口连接到PC4,通过VLAN20访问端口连接到PC5,并通过中继端口连接到集线器。 但是,我们有一个问题-交换机价格昂贵,因此通常使用一种方案,其中两个交换机通过集线器相互连接。 两台交换机使用中继线连接到集线器,但是集线器本身对VLAN的概念一无所知,它只是复制信号。 正如我们已经说过的,如果VLAN流量直接发送到计算机,它将丢弃它,因为它不了解它是什么。 如果要与PC4计算机建立连接,我们如何处理直接连接到集线器的PC6计算机?
PC6发送去往交换机SW2的流量。 收到此流量后,交换机会看到该帧没有VLAN标记,并且不知道将其发送到哪个网络-VLAN10或VLAN20。 对于这种情况,思科创建了一种称为本机VLAN的技术,默认情况下VLAN1为本机VLAN。
假设我们有一台计算机,我将其画在交换机SW2上,并且此PC通过端口VLAN1连接到交换机。 同一台计算机位于SW1上方,并且也通过VLAN1连接到该计算机。 我将在正确的开关下绘制另一台计算机。
通过VLAN1连接到交换机SW2的两台计算机可以相互通信,但不能与其他计算机通信。 当交换机通过中继线收到未标记的流量时,它将认为该流量已寻址到VLAN1或本机VLAN,并将其转发到连接到VLAN1端口的计算机。 同样,当交换机收到未标记的PC6流量时,它会寻址其VLAN1网络。
如果在VLAN20的红线上有一个Cisco IP电话连接到PC5和交换机SW2,会发生什么情况? 这是办公室网络设备的典型布局。 在这种情况下,还将使用本机VLAN概念。 就像我说的,计算机不知道什么是VLAN,电话知道。 问题是我们是否可以在同一VLAN上发送数据和语音。 这是一种非常危险的情况,因为如果计算机与IP电话处于同一条通信线上,则黑客可以轻松地连接到这种通信通道并使用Wireshark拦截语音数据包。 然后,他可以将这些语音数据包转换为音频文件,并在任何电话交谈中进行监听。 因此,实际上,语音和数据流量永远不会在同一VLAN上传输。 如何设置?
我们将IP电话所连接的端口转换为中继端口,并且我们认为通过此端口的任何流量都是VLAN30语音流量。 任何Cisco IP电话都使用802.1q封装协议,通常称为.1Q或Dot 1Q。 因此,当来自电话的流量落入相应的端口时,交换机就会知道这是VLAN30语音流量。 我们必须将另一部电话连接到SW交换机,这也是VLAN30的一部分。
通过访问端口连接到交换机的PC4计算机在这种情况下会发生什么情况? 毕竟,此计算机与交换机交换的所有流量都属于蓝色VLAN10。 但是,PC5是通过中继线连接到交换机的,对于中继线,我们不配置任何VLAN! 在这种情况下,端口以中继模式而非访问模式运行,因此我们不能使用switchport access VLAN#命令。 它使用与PC6相同的概念-如果交换机收到未标记的流量,则将其路由到本地VLAN端口,默认情况下为VLAN1。
问题是是否可以更改本机VLAN。 答案是肯定的,您可以执行此操作,例如,在红线的情况下,可以将本机VLAN更改为VLAN20,然后交换机会将红色流量从PC5定向到VLAN20网络。 由于两台交换机均通过中继线连接,因此已接收VLAN20流量的SW2交换机将其视为本地VLAN流量,并将SW1交换机发送为未标记。
收到此流量后,交换机SW1会将其识别为未标记的本地流量,并且由于其本地VLAN为VLAN1,它将将该流量发送到此网络。 如果我们更改了本地VLAN,则必须谨慎行事,以确保所有交换机中的所有本地VLAN均已正确更改,否则会引起很多问题。
这是对本地VLAN的简要概述,现在我们将继续使用专有的VTP中继协议(VLAN)。 首先,您应该记住,尽管它的名字是VTP,但它不是中继协议。
从以前的课程中,我们知道只有两种中继协议:称为ISL的专有Cisco协议和公认的802.1q协议。
VTP还是Cisco的专有协议,但是从创建中继连接的意义上讲,它不做中继。 假设我们在与计算机连接的第一台交换机的端口上创建了VLAN10。 此外,我们还有主干SW1-SW2和主干SW2-SW3。 当中继端口SW1接收计算机流量时,它将知道它是VLAN10流量并将其转发到第二台交换机。 但是,第二个交换机不知道VLAN10是什么,因为除中继线外没有其他端口与之相连,因此,为了接收此流量并进一步发送,它会在其端口上创建VLAN10。 交换机3将执行相同的操作-在中继上收到流量后,它将创建VLAN10。
您可以在SW3上创建两个访问端口,两个都将是VLAN10。 假设我要在所有3台交换机上创建另一个网络-VLAN20。 只有在创建了VLAN20的端口后,这才可能实现。 添加到网络中的设备,计算机和交换机越多,创建新VLAN的难度就越大,这就是Cisco通过创建VTP来自动执行此过程的原因。
如果我们创建一个新的VLAN,在其中一台交换机上将其称为VLAN30,然后在通过中继连接的所有其他交换机上,将自动创建相同的VLAN30网络。
只需将更新后的VLAN数据库发送到所有交换机,然后您只需为计算机创建访问端口即可。 没有此协议,您将必须手动重新配置所有交换机。 VTP的缺点是,如果您对VLAN数据库进行更改,它将更改修订号-修订号。 通常,当您立即使用开关时,所有设置的修订版本号均为零。 当您添加新的VLAN(例如第十)时,数据库SW1的修订号为1。 在这种情况下,第二个交换机说:“好,您的修订版为1,我的修订版为0,因此我必须将修订版号更改为1,并将所有数据从VLAN表复制到我的表中。” 第三开关执行相同的操作。
假设现在有2台交换机添加了VLAN20,并将修订号更改为2,那么第一台和第三台交换机必须执行相同的操作。 每次更改修订号时,协议都会在更新其VLAN表的同时检查谁拥有更高的修订号,并将所有其他修订号更改为该修订号。 而且,VTP无条件地信任具有最高修订号的交换机。
想象一下这种情况。 一名新员工来到公司,并在拐角处发现了一个用于培训员工的开关。 他对此一无所知,看到此开关看起来较新,并决定将其连接到共享网络。 他配置了此交换机,将其连接到例如SW2交换机并创建了中继。 并一打开它,您的整个网络就会中断! 一切都停止了,因为计算机和交换机之间的连接完全消失了。
为什么会这样呢? 交换机公司的最大修订版本数为50,因为该公司只有5个VLAN-10,20,30,40,50。 新交换机用于培训,连接了更多网络,对设置进行了很多更改,结果其修订版号增加到100。同时,VLAN数据库中只有一个网络,编号105。
在SW Training通过中继线连接到SW2之后,第二个开关看到初学者的修订号更高,因此决定将其修订号改为更高的修订号。 同时,他向自己复制了新交换机的VLAN表,自动删除了他所有的现有VLAN10、20、30网络……,将它们替换为以前在现有网络中不存在的一个VLAN105。 第一和第三台交换机执行相同的操作,将修订号从50更改为100,并从数据库中删除了旧网络,因为它们未包含在SW Training交换机的VLAN表中。
交换机SW1为VLAN10网络创建了访问端口,但是在更新修订版之后,该网络消失了。 交换机的排列方式是:如果将访问端口配置为与不在VLAN数据库中的网络一起使用,则将以编程方式禁用此端口。 VLAN20和VLAN30网络发生了相同的事情-交换机未在更新的虚拟网络数据库中找到它们,而只是禁用了相应的访问端口,此后该公司的现有本地网络出现故障。
我向您保证,这经常在实践中发生。 就个人而言,我两次目睹了由于有人连接新交换机而导致网络停止工作的事件。 因此请小心,因为VTP是非常强大的功能。 思科认为,由于这种类型问题的可能性,最好避免使用VTP。
有一种机制可以防止由VTP使用错误引起的网络故障。 这就是VTP域的机制,它以这种方式工作:如果网络上一台交换机的域与运行VTP协议的其他交换机的域不同,则该交换机将不会在VLAN数据库中复制。 但是,尽管采用了这种机制,思科建议不要在没有特殊需要的情况下使用该协议。
但是,如果您确定VTP在创建网络时将对您有所帮助,并且您可以负责任地进行交换机的配置,则可以尝试使用它。 VTP具有3种模式:服务器,客户端和透明。
VTP服务器模式允许您更改网络,即从switch命令行创建,删除和修改VLAN。 默认情况下,此模式在所有Cisco交换机中设置。
我画了三个开关,第一个处于服务器模式,另外两个处于客户端模式。 您只能在第一台交换机上创建一个新的VLAN,然后在第二台和第三台交换机上复制数据库。 如果尝试使用第二个开关执行此操作,则会得到答案:“我不是服务器,因此无法在我的设置中进行此类更改。” 这是防止更改的机制。 因此,您可以通过服务器选择其中一台交换机,更改其设置,然后在交换机-客户端上重复这些操作。 但是,如果您不打算使用VTP怎么办?
要完全放弃使用此协议,您需要将交换机置于透明模式。 同时,您不关闭VTP模式,只是交换机不再生成VTP通告,不更新VLAN数据库,并且始终使用配置修订号0。
假设我们对第二个开关使用透明模式。 收到VTP信息后,他将看到该协议不适用于他,而只是将此信息传输到处于客户端模式的下一个交换机,而无需更新自己的设置。 因此,透明模式意味着拒绝将VTP与特定的交换机一起使用。
因此,请记住,服务器模式允许您进行更改,客户端模式允许您接收这些更改,透明模式可以防止将更改应用到VTP协议上,从而通过网络进一步传输它们。
现在让我们讨论一个称为VTP修剪的概念。 假设在交换机SW1上有两个VLAN30网络,一个红色VLAN20网络和两个蓝色VLAN10网络。
交换机SW2没有用于VLAN30的端口。 但是,默认情况下,SW1通过中继传输带标签的VLAN10、20和30流量。 作为网络管理员,您知道交换机SW2没有VLAN30,但是,您必须确保正确传输所有流量。 为此,您可以使用VTP修剪对来自SW1的流量使用附加信息。 配置第一个交换机时,它只能通过中继线传输VLAN10和VLAN20网络的流量,而不能通过中继线传输VLAN30网络的流量。 这就是VTP修剪概念的全部内容。 在下一个视频教程中,我们将介绍如何进行我今天讨论的设置。
因此,我们讨论了三个概念:本机VLAN,VTP和VTP修剪。 希望您从听到的内容中了解一切。 如果不是这种情况,请视需要复习本次课程,并随时通过电子邮件或此视频的评论问我问题。
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或将其推荐给您的朋友来支持我们,
为我们为您发明的入门级服务器的独特模拟,为Habr用户提供
30%的折扣: 关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
戴尔R730xd便宜2倍? 仅
在荷兰,我们有
2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视 ! 戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起! 阅读有关
如何建立基础架构的信息 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?