今天,我们将继续讨论VLAN,并讨论VTP协议以及VTP修剪和本机VLAN的概念。 在上一个视频中,我们讨论了VTP,当您听说VTP时,想到的第一件事是它不是中继协议,尽管有所谓的“ VLAN中继协议”。
如您所知,有两种流行的中继协议-Cisco ISL专有协议(今天不再使用)和802.q协议,该协议在各种制造商的网络设备中用于封装中继流量。 此协议也用于思科交换机。 我们已经说过,VTP是VLAN同步协议,也就是说,它旨在同步网络中所有交换机中的VLAN数据库。
我们提到了各种VTP模式-服务器,客户端,透明。 如果设备使用服务器模式,则可以进行更改,添加或删除VLAN。 客户端模式不允许更改交换机设置;您只能通过VTP服务器配置VLAN数据库,并将其复制到所有VTP客户端。 透明模式下的交换机不会对其自己的VLAN数据库进行更改,而只是通过自身并将更改传递给客户端模式下的下一个设备。 此模式类似于在特定设备上禁用VTP协议,将其转变为有关VLAN更改的信息的载体。
返回Packet Tracer和上一课中讨论的网络拓扑。 我们为销售部门配置了VLAN10网络,为营销部门配置了VLAN20网络,并将它们与三个交换机结合在一起。
在交换机SW0和SW1之间,连接了VLAN20,在交换机SW0和SW2之间,连接了VLAN10,这是因为我们将VLAN10添加到了交换机SW1的VLAN数据库中。
为了考虑VTP协议的操作,让我们使用其中一台交换机作为VTP服务器,将其设为SW0。 如果您还记得的话,默认情况下,所有交换机都在VTP服务器模式下工作。 让我们转到switch命令行终端,然后输入show vtp status命令。 您会看到VTP协议的当前版本-2和配置4的修订版号。如果您还记得,每次对VTP数据库进行更改时,修订版号都会增加一。
支持的VLAN的最大数量为255。此数量取决于特定Cisco交换机的品牌,因为不同的交换机可以支持不同数量的本地虚拟网络。 现有VLAN的数量为7,我们将在一分钟内考虑使用哪种网络。 VTP管理模式是服务器,未设置域名,VTP修剪模式已禁用,稍后我们将返回到此。 VTP V2和VTP陷阱生成模式也被禁用。 您无需了解通过200-125 CCNA考试的后两种模式,因此您不必担心它们。
让我们看一下使用show vlan命令的VLAN数据库。 正如我们在上一个视频中看到的,我们有4个不受支持的网络:1002、1003、1004和1005。
它还列出了我们创建的2个VLAN 10和20,以及默认的网络VLAN1。 现在,让我们继续到另一台交换机,并输入相同的命令以查看VTP状态。 您会看到此交换机的修订版号为3,处于VTP服务器模式,并且所有其他信息与第一个交换机相似。 当我输入show VLAN命令时,我将看到我们在设置中进行了2次更改,比交换机SW0少了一个,这就是为什么SW1的修订版号为3的原因。我们在第一台交换机的默认设置中进行了3次更改,因此其修订版号为增加到4。
现在让我们看一下SW2的状态。 这里的修订号是1,这很奇怪。 我们必须进行第二次修订,因为对设置进行了1次更改。 让我们看一下VLAN数据库。
我们通过创建VLAN10网络进行了一项更改,但我不知道为什么未更新此信息。 也许这是由于我们没有一个真实的网络,而是一个软件网络模拟器,其中可能存在错误。 在Cisco实习期间,如果有机会与实际设备一起使用,这将比Packet Tracer模拟器为您提供更多帮助。 在没有实际设备的情况下,另一个有用的功能是GNC3或Cisco网络模拟器。 这是使用设备的实际操作系统(例如路由器)的仿真器。 模拟器和模拟器之间是有区别的-第一个是看起来像真实路由器的程序,但事实并非如此。 仿真器仅以编程方式创建设备本身,但使用真实的软件进行操作。 但是,如果您没有机会使用真正的Cisco IOS软件,最好的选择就是Packet Tracer。
因此,我们需要将SW0配置为VTP服务器,为此,我进入全局配置模式并输入vtp version 2命令,正如我所说,我们可以安装所需协议的版本-1或2,在这种情况下,需要第二个版本。 接下来,使用vtp mode命令,设置交换机的VTP模式-服务器,客户端或透明。 在这种情况下,我们需要服务器模式,并且在输入vtp mode server命令后,系统会显示一条消息,表明设备已处于服务器模式。 接下来,我们需要配置VTP域,为此我们使用vtp domain nwking.org命令。 为什么需要这个? 如果网络上存在另一台具有较高修订版号的设备,则所有其他具有较低修订版的设备将开始从该设备复制VLAN数据库。 但是,仅当设备具有相同的域名时,才会发生这种情况。 例如,如果您在nwking.org中工作,则指定此域,如果在Cisco中,则该域为Cisco.com,依此类推。 通过公司设备的域名,您可以将它们与另一家公司的设备或任何其他外部网络设备区分开。 如果将公司域名分配给设备,则使其成为公司网络的一部分。
接下来要做的是设置VTP密码。 需要这样做,以便拥有较大修订版本的设备的黑客无法将其VTP设置复制到交换机。 我使用vtp password cisco命令输入cisco密码。 此后,仅当密码匹配时,才可以在交换机之间复制VTP数据。 如果使用了错误的密码,则不会更新VLAN数据库。
让我们尝试创建更多VLAN。 为此,我使用config t命令,使用vlan 200命令创建一个数字为200的网络,将其命名为TEST并使用exit命令保存更改。 然后,我创建另一个VLAN 500网络并将其命名为TEST1。 如果现在输入show vlan命令,则在交换机的虚拟网络表中,您可以看到这两个没有分配端口的新网络。
让我们继续前进到SW1并查看其VTP状态。 我们看到这里没有任何变化,除了域名,VLAN的数量保持等于7。我们看不到我们创建的网络的外观,因为VTP密码不匹配。 让我们通过依次输入conf t,vtp pass和vtp password cisco命令在此交换机上设置VTP密码。 系统发出一条消息,表明设备VLAN数据库现在使用Cisco密码。 让我们再次查看VTP状态,以检查信息是否已复制。 如您所见,现有VLAN的数量自动增加到9。
如果查看此交换机的VLAN数据库,可以看到我们创建的VLAN200和VLAN500网络自动出现在其中。
最后一个开关SW2需要做同样的事情。 让我们输入show vlan命令-您将看到其中没有任何更改。 同样,VTP状态也没有变化。 为了使此开关更新信息,您还需要配置密码,即输入与SW1相同的命令。 之后,处于SW2状态的VLAN数量将增加到9。
这就是VTP协议的目的。 在对服务器设备进行更改之后,在所有客户端网络设备中提供信息的自动更新是一件很了不起的事情。 您无需手动更改所有交换机的VLAN数据库-复制会自动进行。 如果您有200个网络设备,您的更改将同时保存在所有200个设备上。 为了以防万一,我们需要确保SW2也是VTP客户端,因此请使用config t命令进入设置,然后输入vtp mode client命令。
因此,在我们的网络中,只有第一个交换机处于VTP服务器模式,其他两个处于VTP客户端模式。 如果现在进入SW2的设置并输入vlan 1000命令,则会收到消息:“当设备处于客户端模式时,不允许VTP VLAN配置。” 因此,如果交换机处于VTP客户端模式,则无法对VLAN数据库进行任何更改。 如果要进行任何更改,则需要转到交换服务器。
我进入终端SW0的设置,然后输入命令vlan 999,名称IMRAN并退出。 这个新网络出现在此交换机的VLAN数据库中,如果现在转到交换机客户端SW2的数据库,那么我将看到此处显示了相同的信息,即发生了复制。
正如我所说,VTP是一个很棒的软件,但是如果使用不当,此协议可能会破坏整个网络。 因此,如果未指定域名和VTP密码,则需要非常注意公司网络。 在这种情况下,黑客所需要做的就是将其交换机的电缆插入墙上的墙上插座,使用DTP协议连接到任何办公室交换机,然后使用创建的中继线,使用VTP协议更新所有信息。 因此,黑客可以利用其设备的修订版号高于其余交换机的修订版号来删除所有重要的VLAN。 同时,公司交换机将自动用恶意交换机复制的信息替换所有VLAN数据库信息,并且整个网络将崩溃。
这是由于以下事实:使用网络电缆的计算机已连接到VLAN 10或VLAN20连接到的特定交换机端口。 如果从交换机的LAN数据库中删除了这些网络,它将自动断开属于不存在网络的端口。 通常,公司的网络可能完全崩溃,因为交换机仅禁用了与VLAN相关的端口,而这些端口在下一次更新时已删除。
为了防止此类问题的发生,您需要设置VTP域名和密码或使用Cisco端口安全功能,该功能允许您通过对交换机端口的使用施加各种限制来管理它们的MAC地址。 例如,如果其他人尝试更改MAC地址,则该端口将立即关闭。 很快,我们将非常紧密地了解Cisco交换机的此功能,现在您只需要知道Port Security(端口安全)就可以确保VTP受到攻击者的保护。
总结一下VTP设置是什么。 协议版本的选择是1或2,VTP模式的目的是服务器,客户端或透明。 如我所说,最后一种模式不会更新设备本身的VLAN数据库,而只是将所有更改传递给相邻设备。 以下是分配域名和密码的命令:vtp域<域名>和vtp密码<密码>。
现在让我们谈谈VTP修剪设置。 如果查看网络拓扑,可以看到所有三台交换机都具有相同的VLAN数据库,这意味着VLAN10和VLAN20是所有三台交换机的一部分。 从技术上讲,SW2交换机不需要VLAN20网络,因为它没有与此网络相关的端口。 但是,无论如何,从Laptop0计算机通过VLAN20发送的所有流量都将流向交换机SW1,并通过中继线将其流向SW2端口。 作为网络专家的主要任务是确保通过网络传输尽可能少的数据。 您必须确保传输必要的数据,但是如何限制该设备不需要的信息的传输呢?
您必须确保发往VLAN20设备的流量在不需要时不会通过中继线到达SW2端口。 也就是说,Laptop0流量应到达SW1并进一步到达VLAN20网络上的计算机,但不应超出SW1的正确中继端口。 这可以使用VTP修剪来实现。
为此,我们需要进入VTP服务器SW0的设置,因为正如我所说,VTP设置只能通过服务器进行,请转到全局配置设置并键入vtp pruning命令。 由于Packet Tracer只是一个模拟器,因此在其命令行提示符中没有这样的命令。 但是,当我键入vtp修剪并按“ Enter”时,系统将报告vtp修剪不可用。
使用show vtp status命令,我们将看到VTP修剪模式处于禁用状态,因此我们需要通过将其移动到启用位置来使其可用。 完成此操作后,我们在网络域内的网络的所有三个交换机上激活VTP修剪模式。
让我提醒您什么是VTP修剪。 当启用此模式时,交换机服务器SW0通知交换机SW2在其端口上仅配置了VLAN10。 之后,交换机SW2通知交换机SW1,除了发往VLAN10网络的流量之外,它不需要任何流量。 现在,由于进行了VTP修剪,SW1交换机获得了不需要在SW1-SW2中继上发送VLAN20流量的信息。
作为网络管理员,这对您来说非常方便。 您无需手动输入命令,因为交换机足够智能,可以准确发送特定网络设备所需的信息。 如果明天您将在另一座建筑物中放置另一个营销人员部门并将其VLAN20网络连接到交换机SW2,则此交换机将立即通知交换机SW1它现在具有VLAN10和VLAN20网络,并将要求您将两个网络的流量都传输到该交换机。 此信息在所有设备上都会不断更新,从而使通信效率更高。
还有另一种指定流量传输的方法-使用仅允许指定VLAN进行数据传输的命令。 我进入交换机SW1的设置,在其中我对Fa0 / 4端口感兴趣,然后输入命令int fa0 / 4和switchport trunk allowed vlan。 因为我已经知道SW2只有VLAN10,所以我可以指定SW1交换机,以便它的中继端口仅允许使用该vlan命令传递该网络的流量。 因此,我将Fa0 / 4中继端口编程为仅针对VLAN10传输流量。 这意味着此端口将不会再传递其他流量VLAN1,VLAN20或除指定的端口之外的任何其他网络。
您可能会问使用哪种更好-VTP修剪或允许的vlan命令。 答案是主观的,因为在某些情况下,使用第一种方法有意义,而在某些情况下,则使用第二种方法。 作为网络管理员,您自己必须选择最佳的解决方案。 在某些情况下,对端口进行编程以允许特定VLAN的流量的决定可能是好的,但在某些情况下,可能会很糟糕。 对于我们的网络,如果我们不打算更改网络拓扑,则可能需要使用allowed vlan命令。 但是,如果以后有人想使用VLAN20将一组设备添加到SW 2,则更建议应用VTP修剪模式。
因此,设置VTP修剪是使用以下命令。 vtp pruning命令可自动使用此模式。 如果要将中继端口的VTP修剪配置为手动传递特定VLAN的流量,请使用该命令选择中继端口号接口<#>,启用中继模式switchport模式中继,并使用switchport trunk allow vlan <启用特定网络的流量。全部/无/添加/删除/#>。
您可以在最后一条命令中使用5个参数。 全部表示所有VLAN都允许通信,否-所有VLAN均不允许通信。 如果使用add参数,则可以为另一个网络添加流量通行证。 例如,我们允许VLAN10流量,并且使用add命令还可以允许VLAN20网络流量通过。 remove命令允许您删除其中一个网络,例如,如果使用remove 20参数,则仅保留VLAN10流量的传输。
现在考虑本机VLAN。 我们已经说过,本地VLAN是一个虚拟网络,用于通过特定的中继端口传递未标记的流量。
我进入特定端口的设置,如命令行标题SW(config-if)#所示,并使用switchport trunk native vlan <网络号>命令,例如VLAN10。 现在,所有VLAN10流量都将通过无标签标签。
返回到Packet Tracer窗口中的逻辑网络拓扑。 如果我对Fa0 / 4交换机端口使用switchport trunk native vlan 20命令,则所有VLAN20网络流量都将通过不带标签的Fa0 / 4-SW2中继。 当SW2交换机收到此流量时,它会认为:“这是未标记的流量,因此我必须将其转发到本地VLAN”。 对于此交换机,本机VLAN为网络VLAN1。 网络1和20没有以任何方式连接,但是由于使用了本地VLAN模式,因此我们有机会将VLAN20流量路由到一个完全不同的网络。 , .
. SW1 switchport trunk native vlan 10. VLAN10 - . - SW2, , VLAN1. PC2, 3 4, access- , VLAN10.
, native VLAN Fa0/4, VLAN10, Fa0/1, VLAN1. , - native VLAN.
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? ,
30% entry-level , : VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps $20 ? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
戴尔R730xd便宜2倍? 仅
在荷兰,我们有
2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视 ! 戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?