今天,我们看一下动态DTP中继协议和VTP-VLAN中继协议。 正如我在上一课中所述,我们将按照ICND2考试主题在思科网站上的显示顺序进行排列。
上一次我们查看项目1.1,今天我们查看1.2-设置,检查网络交换机并对其进行故障排除:从中继以及DTP和VTP协议版本1和2中添加和删除VLAN。
默认情况下,交换机的所有“开箱即用”端口都配置为使用DTP协议的动态自动模式。 这意味着,当两个不同交换机的端口之间相互连接时,如果其中一个端口处于中继模式或所需模式,则中继线会自动打开。 如果两个交换机的端口都处于动态自动模式,则不会形成中继线。
因此,这完全取决于两个开关中每个开关的操作模式的设置。 为了便于理解,我列出了两个交换机的DTP模式的可能组合表。 您会看到,如果两个交换机都使用“动态自动”,则它们不会构成中继线,而是保持在“访问”模式下。 因此,如果要在两台交换机之间创建中继,则必须将至少一台交换机编程为“中继”模式,或将中继端口编程为使用“动态所需”模式。 从表中可以看出,每个交换机端口可以处于以下四种模式之一:访问,动态自动,动态期望或中继。
如果两个端口都配置为访问,则连接的交换机将使用访问模式。 如果将一个端口配置为“动态自动”,将另一个端口配置为“访问”,则两个端口都将在访问模式下工作。 如果一个端口在访问模式下工作而另一端口在中继模式下工作,则将无法连接交换机,因此无法使用这种模式组合。
因此,要使中继正常工作,必须在Trunk上对其中一个交换机端口进行编程,而在Trunk上必须对另一个进行编程,这是Dynamic Auto或Dynamic Desirable。 如果两个端口都配置为“动态所需”,则也会形成中继线。
Dynamic Desirable和Dynamic Auto之间的区别在于,在第一种模式下,端口本身通过将DTP帧发送到第二台交换机的端口来启动中继。 在第二种模式下,交换机端口会一直等到有人开始与他交谈,并且如果两个交换机的端口都配置为“动态自动”,则它们之间将永远不会形成中继线。 在“动态要求”的情况下,存在相反的情况-如果两个端口都配置为此模式,则必须在它们之间形成中继线。
我建议您记住此表,因为它将帮助您正确配置相互连接的交换机。 让我们在Packet Tracer中看一下这方面。 我依次将3个交换机连接在一起,现在将在屏幕上显示每个设备的CLI控制台窗口。
如果输入show int trunk命令,我们将看不到任何中继线,因为没有进行必要的设置,这是完全自然的,因为所有交换机都配置为动态自动模式。 如果我要求您显示中间交换机的f0 / 1接口的参数,您会看到在管理设置模式下显示了动态自动参数。
第三个和第一个开关具有相似的设置-它们在动态自动模式下也具有f0 / 1端口。 如果您记得该表,则对于中继而言,所有端口必须处于中继模式,或者其中一个端口必须处于动态期望模式。
让我们进入第一个开关SW0的设置并配置端口f0 / 1。 输入switchport mode命令后,系统将提示可能的模式参数:访问,动态或中继。 我使用了switchport模式动态可取命令,您会注意到输入此命令后第二个交换机的中继端口f0 / 1如何先下降,然后在收到第一个交换机的DTP帧之后上升。
如果现在在交换机SW1的CLI控制台中输入show int trunk命令,我们将看到端口f0 / 1处于中继状态。 我在交换机SW1的控制台中输入相同的命令,并看到相同的信息,也就是说,现在在交换机SW0和SW1之间安装了中继。 第一个交换机的端口处于期望模式,第二个交换机的端口处于自动模式。
第二个和第三个开关之间没有连接,因此我转到第三个开关的设置,然后输入switchport模式动态所需命令。 您会看到,在第二个交换机中,发生了相同的下降状态更改,只是现在它们触摸端口f0 / 2,这3个交换机已连接到该端口。 现在第二个交换机有两个中继:一个在f0 / 1接口上,第二个在f0 / 2上。 可以使用show int trunk命令看到。
第二个交换机的两个端口都处于自动状态,即,为了与相邻交换机进行中继,它们的端口必须处于中继或所需模式,因为在这种情况下,只有两种模式可用于安装中继。 使用该表,您可以始终以配置交换机端口的方式来组织它们之间的中继。 这是使用动态DTP中继协议的本质。
让我们开始讨论VLAN中继协议或VTP。 该协议提供了不同网络设备的VLAN数据库的同步,从而将更新的VLAN数据库从一个设备转移到另一个设备。 让我们回到我们的3开关方案。 VTP可以在三种模式下工作:服务器,客户端和透明。 VTP v3具有另一种称为“关闭”的模式,但是Cisco考试主题仅涵盖VTP的第一个和第二个版本。
服务器模式用于创建新的VLAN,通过switch命令行删除或更改网络。 在客户端模式下,不能在VLAN上执行任何操作;在这种模式下,仅VLAN的数据库是从服务器更新的。 透明模式的行为就好像禁用了VTP协议一样,也就是说,交换机不会发出自己的VTP消息,而是从其他交换机发送更新-如果更新到达交换机的一个端口,它将通过它自己传递,并通过另一个端口通过网络进一步发送。 在透明模式下,交换机只是充当其他人的消息的发送者,而无需更新自己的VLAN数据库。
在此幻灯片上,您看到以全局配置模式输入的VTP协议配置命令。 第一个命令允许您更改所使用的协议版本。 第二条命令选择VTP操作模式。
如果要创建VTP域,请使用vtp domain <域名>命令,并设置VTP密码,必须输入vtp password <PASSWORD>命令。 让我们转到第一个交换机的CLI控制台,通过发出show vtp status命令来查看VTP状态。
您会看到VTP协议的版本-第二,支持的VLAN的最大数量为255,现有VLAN的数量为5,并且VLAN的操作模式为服务器。 这些都是默认设置。 我们已经在第30天的课程中讨论了VTP,因此,如果您忘记了某些内容,可以返回并再次观看此视频。
为了查看VLAN数据库,我输入show vlan brief命令。 这里显示的是VLAN1和VLAN1002-1005。 默认情况下,所有空闲交换机接口都连接到第一个网络-23个快速以太网端口和2个千兆以太网端口,不支持其余4个VLAN。 其他两台交换机的VLAN数据库看起来完全相同,除了SW1没有23个,而是22个快速以太网端口留给VLAN使用,因为f0 / 1和f0 / 2被中继占用。 让我再次提醒您“第30天”课程中讨论的内容-VTP协议仅支持更新VLAN数据库。
如果我使用switchport access和switchport mode access命令VLAN10,VLAN20或VLAN30配置了多个端口以使用VLAN,则这些端口的配置将不会使用VTP复制,因为VTP仅更新VLAN数据库。
因此,如果将其中一个SW1端口配置为可与VLAN20一起使用,但该网络不在VLAN数据库中,则该端口将被禁用。 反过来,仅在使用VTP协议时才发生数据库更新。
使用show vtp status命令,我可以看到所有3个交换机现在都处于服务器模式。 我将使用vtp mode transparent命令将中间开关SW1切换为透明模式,并使用vtp mode client命令将第三个开关SW2切换为客户端模式。
现在,让我们回到第一个开关SW0,并使用vtp domain <domain name>命令创建nwking.org域。 如果现在查看处于透明模式的第二个交换机的VTP状态,您会发现它对域的创建没有反应-VTP域名字段保持为空。 但是,处于客户端模式的第三个开关已更新其数据库,并且其域名为VTP-nwking.org。 因此,交换数据库SW0的更新通过SW1并影响到SW2。
现在,我将尝试更改给定的域名,为此,我进入了SW0的设置并键入vtp domain NetworKing命令。 如您所见,这次没有发生更新-第三台交换机上的VTP域名保持不变。 事实是,当更改默认域时,这样的域名更新仅发生1次。 如果此后VTP域名再次更改,则在其他交换机上将需要手动更改。
现在,我将在第一个交换机的CLI控制台中创建一个新的VLAN100网络,并将其称为IMRAN。 它出现在第一台交换机的VLAN数据库中,但未出现在第三台交换机的数据库中,因为它们是不同的域。 请记住,仅当两台交换机具有相同的域时才更新VLAN数据库,或者,如我之前所显示的,将设置新的域名而不是默认名称。
我进入3台交换机的设置,并依次输入vtp模式和vtp域NetworKing命令。 请注意,名称输入区分大小写,因此两个交换机的域名拼写必须完全相同。 现在,我再次使用vtp模式client命令将SW2置于客户端模式。 让我们看看会发生什么。 如您所见,现在,当域名匹配时,SW2数据库已经更新,并且其中出现了新的VLAN100 IMRAN,并且这些更改没有以任何方式影响普通交换机,因为它处于透明模式。
如果要保护自己免受未经授权的访问,可以创建VTP密码。 在这种情况下,必须确保另一侧的设备具有完全相同的密码,因为只有在这种情况下,它才可以接收VTP更新。
我们将考虑的下一件事是修剪VTP,或“修剪”未使用的VLAN。 如果网络上有100个使用VTP协议的设备,则更新一台设备的VLAN数据库将自动复制到其余99台设备。 但是,并非所有这些设备都具有更新中提到的VLAN,因此可能不需要有关它们的信息。
\
使用VTP将VLAN数据库更新分发到设备意味着所有设备的所有端口将接收有关已添加,已删除和已更改VLAN的信息,这些信息可能与它们无关。 同时,网络被过多的流量阻塞。 为了防止这种情况的发生,使用了VTP修剪概念。 为了在交换机上启用无关VLAN的“修剪”模式,请使用vtp pruning命令。 之后,这些交换机将自动相互告知它们实际使用的VLAN,从而警告邻居它们不需要将更新发送到未连接到它们的网络。
例如,如果SW2没有任何VLAN10端口,则不需要SW1为其发送该网络的流量。 同时,交换机SW1需要VLAN10流量,因为它的一个端口连接到该网络,所以它不需要将此流量发送到交换机SW2。
因此,如果SW2使用vtp修剪模式,它将告诉SW1:“请不要向我发送VLAN10的流量,因为该网络未连接到我,并且没有将我的端口之一配置为此网络工作。” 这是使用vtp pruning命令提供的内容。
还有另一种方法可以过滤特定接口的流量。 它允许您在具有特定VLAN的中继上配置端口。 此方法的缺点是需要手动配置每个中继端口,这将需要指示允许和禁止哪些VLAN。 为此,使用了3个团队的序列。 第一个指示这些限制涉及的接口,第二个指示将该接口转换为中继端口,第三个指示-交换端口中继允许vlan <全部/无/添加/删除/ VLAN号>-显示该端口允许的VLAN:全部,无一,添加VLAN或删除VLAN。
根据具体情况,选择使用什么:VTP修剪或允许的Trunk。 出于安全原因,某些组织不愿使用VTP,因此选择手动配置中继。 由于vtp pruning命令在Packet Tracer中不起作用,因此我将在GNS3仿真器中显示该命令。
如果进入SW2的设置并输入vtp pruning命令,系统将立即通知您此模式已打开:修剪已打开,即仅使用一个命令即可打开VLAN“修剪”。
如果键入show vtp status命令,则会看到启用了vtp修剪模式。
如果在交换服务器上配置此模式,请转到其设置并输入vtp pruning命令。 这意味着连接到服务器的设备将自动使用vtp修剪以最大程度地减少过时VLAN的中继流量。
如果不想使用此模式,则必须输入特定的接口,例如e0 / 0,然后键入switchport trunk allowed vlan命令。 系统将为您提供有关此命令的可能参数的提示:
-WORD-将在中继模式下在此接口上解析的VLAN编号;
-添加-要添加到VLAN数据库列表中的VLAN;
-全部-启用所有VLAN;
-除外-允许除指定的VLAN外的所有VLAN;
-无-禁用所有VLAN;
-删除-从VLAN数据库列表中删除VLAN。
例如,如果我们为VLAN10启用了中继,并且要为VLAN20启用中继,则需要输入switchport trunk allowed vlan add 20命令。
我想向您展示其他内容,因此我使用show interface trunk命令。 请注意,默认情况下,所有VLAN 1-1005都允许用于中继,现在VLAN10已添加到其中。
如果我使用switchport trunk allowed vlan add 20命令并再次要求显示中继状态,我们将看到现在允许中继使用两个网络-VLAN10和VLAN20。
同时,除了用于指定网络的流量外,没有其他流量可以通过此中继线。 通过仅允许VLAN 10和VLAN 20流量,我们拒绝了所有其他VLAN的流量。 以下是手动为特定交换机接口上的特定VLAN配置中继参数的方法。
请注意,在2017年11月17日当天结束之前,我们的网站对下载有关此主题的实验室工作的费用享有90%的折扣。
谢谢,再见下一个视频教程!
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或将其推荐给您的朋友来支持我们,为我们为您开发
的入门级服务器的独特模拟,为Habr用户提供
30%的折扣: 关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
戴尔R730xd便宜2倍? 只有我们有
2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视在荷兰起价199美元 ! 戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?