Сегодня корпоративная сеть может быть очень сложной. Поэтому для технических специалистов важно тщательно продумывать организацию различных элементов сети, при этом внимание нужно уделить не только физическому размещению элементов сети, но и её виртуальной конфигурации. Решению этой проблемы поможет настройка протоколов VLAN и VTP.
Сети VLAN
VLAN или виртуальная локальная сеть - это локальная сеть, которая логически, а не физически группирует набор машин.
Связь между различными элементами в локальной сети регулируется физической архитектурой сети. Благодаря VLAN возможно преодолеть ограничения, налагаемые физической архитектурой (ограничения, связанные с расположением оборудования, например, в двух разных зданиях, называемые ограничениями адресации).
VLAN позволяет выполнять логическую сегментацию на основе группировки компьютеров благодаря различным критериям: MAC-адрес, номер порта коммутатора, к которым подключены устройства, и т. д.
VLAN уровня 1, или VLAN порта, определяет виртуальную сеть на основе портов коммутатора.
VLAN уровня 2 состоит из определения сети на основе MAC-адресов станций.
VLAN уровня 3. Существует два типа:
- VLAN по подсетям, которая связывает подсети в соответствии с IP-адресом.
- VLAN по протоколу, которая позволяет создать виртуальную сеть по типу протокола, объединяя все машины на основании единства протокола.
Протокол VTP
Роль протокола VTP заключается в обеспечении согласованности конфигурации VLAN в общей сети. VTP - это протокол обмена сообщениями, использующий кадры агрегации для управления добавлением, удалением и присвоением имен VLAN.
VTP разрешает изменения, которые передаются другим коммутаторам в сети. Сообщения VTP инкапсулируются в кадры ISL или IEEE 802.1Q, а затем передаются по каналам связи нескольких VLAN с другими элементами сети.
Обычно порты коммутатора назначаются одной VLAN, но порты нескольких VLAN содержат кадры всех VLAN в сети. Этот порт, называемый транкингом портов, через который будут проходить несколько VLAN, является «магистральным» каналом.
Для чего нужен этот протокол? Предположим, вам нужно настроить несколько VLAN вашей сети:
- Создание трех VLAN на коммутаторе - это довольно быстрая операция настройки
- Создание пяти VLAN на четырех коммутаторах становится более длительной операцией конфигурации
- Создание семидесяти виртуальных локальных сетей на ста коммутаторах - утомительная операция настройки с очень высокой вероятностью ошибки или пропуска настроек.
И именно здесь необходимо применить протокол VTP. Он используется для распространения создания, удаления или изменения сетей VLAN на всех коммутаторах в сети с одного коммутатора.
Это собственный протокол Cisco уровня два. Оценив его простоту и мощность, IEEE выпустил аналогичный протокол для обеспечения этой функциональности между коммутаторами разных производителей: GVRP (протокол регистрации VLAN GARP). Стандарт IEEE 802.1ak.
Как это работает
Сообщения VTP транслируют сообщения о создании, удалении или изменении сетей VLAN. Эта широковещательная передача осуществляется через все коммутаторы с использованием кадра уровня два с очень конкретным MAC-адресом многоадресной рассылки: 01-00-0C-CC-CC-CC.
Архитектура VTP
Коммутатор имеет три режима VTP: клиентский, прозрачный или серверный (по умолчанию acitf):
- VTP-сервер: коммутатор, который создает сообщения VTP
- VTP-клиент: коммутатор, который получает, синхронизирует и распространяет сообщения VTP
- VTP Transparent: коммутатор, который не обрабатывает объявления VTP
Режим VTP-сервера
Настройка коммутатора в режим сервера позволяет администратору вносить любые изменения в сети VLAN и автоматически распространять свои изменения на все коммутаторы в сети.
Режим VTP-клиента
Переключение в режиме клиента не позволяет администратору вносить изменения в VLAN. При попытке создать VLAN вы получаете сообщение об ошибке.
Прозрачный режим VTP
Переключение коммутатора в режим Transparent позволяет администратору вносить какие - либо изменения в сети VLAN только локально и , следовательно, его изменения не распространяются на все коммутаторы сети. Это очень удобно.
Синхронизация
Каждый раз при создании, удалении или изменении VLAN переменная RN - номер редакции - увеличивается (сначала 0, затем 1, затем 2, затем 3…). Каждый раз, когда VLAN создается, удаляется или изменяется, сервер коммутатора отправляет сообщение VTP с новым значением RN. Другие коммутаторы сравнивают RN, полученный от сервера коммутатора, с RN, который хранится локально, если последний меньше (логически), то коммутаторы синхронизируются с сервером и получают новую базу данных VLAN.
По умолчанию RN отправляется автоматически, как только VLAN создается, удаляется или изменяется, а затем отправляется каждые пять минут.
Режим VTP Обрезка
Эта факультативная команда предназначена сохраняет пропускную способность.
Представьте, что коммутатор получает VLAN 1 и 2, но ни один из его интерфейсов не принадлежит VLAN 2. Когда соседний коммутатор отправляет свои кадры из VLAN 2, этот коммутатор удаляет их, поскольку ни один из его интерфейсов не принадлежит этой VLAN. Поэтому соседний коммутатор не должен отправлять ему трафик для VLAN 2.
Поэтому активируется функция сокращения VTP, чтобы предупредить соседний коммутатор, чтобы он не отправлял ему трафик для этой VLAN. Функция активируется с сервера коммутаторов.
Важно : если клиентский коммутатор имеет более высокий RN, чем сервер коммутатора (например, ранее он был в другой сети, а затем был подключен к нашей), клиент не сможет восстановить базу данных VLAN сервера.
Это связано с тем, что независимо от режима коммутатора, сервера или клиента, он всегда синхронизируется с тем, который имеет самый высокий RN. В нашем случае сервер синхронизирует и восстанавливает базу данных VLAN клиента. Поэтому очень важно сбросить RN на ноль. Для этого просто переключитесь в прозрачный режим, затем в режим клиента.
Важно:
- Сообщения VTP распространяются по ссылкам, настроенным в магистрали (стандарт 802.1Q), а не в режиме доступа.
- VTP поддерживает только диапазон VLAN от 1 до 1005. Расширенный диапазон от 1006 до 4096 не поддерживается. Для включения этой возможности вы должны переключиться в прозрачный режим на всех коммутаторах и создать свои VLANS
- Существует три версии VTP, убедитесь, что в сети активна одна и только одна версия, чтобы избежать неожиданностей (v1 и v2 несовместимы друг с другом).
- Конфигурацию VTP нельзя просмотреть в running-config, но она хранится в файле vlan.dat, расположенном, который находится в NVRAM
Настройка VTP
Чтобы настроить VTP, выполните следующие действия:
- обязательно настройте домен VTP, который позволяет всем коммутаторам находиться в одной «группе друзей»
- обязательно: настройте режим вашего коммутатора (клиентский, прозрачный или серверный)
- опционально: активируйте режим обрезки
- необязательно: настройте пароль для защиты сообщений VTP
- необязательно: активируйте версию 2 или 3 VTP (версия 1 активна по умолчанию)
1. Конфигурация домена VTP называется TEST:
Switch> enable
Switch # configure terminal
Switch (config) # домен vtp TEST
Changing VTP domain name from NULL to TEST
(Изменение имени домена VTP с NULL на TEST)
2. Настройка режима сервера:
Switch (config) # vtp mode server
Device mode already VTP SERVER.
Обратите внимание, что по умолчанию коммутатор уже находится в режиме сервера, это удобно, поскольку позволяет создавать виртуальные локальные сети, когда коммутатор готов к работе.
3. активация режима обрезки (с сервера коммутатора):
Switch(config) # vtp pruning
Pruning switched on
4. Настройка пароля VTP (cisco123):
Switch(config) # vtp password cisco123
Setting device VLAN database password to cisco123
(Установка пароля базы данных VLAN устройства на cisco123)
5. активация версии 2 VTP (необходимо проделать для всех коммутаторов):
Switch (config) # vtp version 2
Верификация (проверка)
Чтобы убедиться, что VTP правильно настроен, выполните следующие действия:
- Проверьте, правильно ли был введен пароль
- Проверьте, отправляются и получаются ли сообщения VTP с соседних коммутаторов
- Проверьте общую конфигурацию VTP (наиболее используемая команда)
1. Отображение настроенного пароля
Switch # show vtp password
VTP Password: cisco123
2. Сверка счетчиков отправленных и полученных сообщений VTP:
К
Switch # show vtp counters
VTP statistics:
Summary advertisements received : 0
Subset advertisements received : 0
Request advertisements received : 0
Summary advertisements transmitted : 0
Subset advertisements transmitted : 0
Request advertisements transmitted : 0
Number of config revision errors : 0
Number of config digest errors : 0
Number of V1 summary errors : 0
VTP pruning statistics:
Trunk Join Transmitted Join Received Summary advts received from
non-pruning-capable device
---------------- ---------------- ---------------- ---------------------------
Мы отмечаем, что все счетчики находятся на 0, что логично, поскольку на данный момент еще не созданы, не удалены или не изменены VLAN. Мы перепроверим эти счетчики чуть позже.
3. Проверка общей конфигурации VTP:
Switch # show vtp status
VTP Version : 2
Configuration Revision : 1
Maximum VLANs supported locally : 255
Number of existing VLANs : 5
VTP Operating Mode : Server
VTP Domain Name : TEST
VTP Pruning Mode : Disabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0xCD 0x24 0x5F 0xE3 0xF2 0x01 0xFF 0x6B
Configuration last modified by 0.0.0.0 at 3-1-11 00:15:36
Пояснение (построчно):
- VTP Version (версия VTP): отображает максимальную версию, поддерживаемую коммутатором (здесь коммутатор поддерживает версии 1 и 2). Обратите внимание, это не обязательно активный!
- Configuration Revision (проверка конфигурации): в режиме сервера она начинается с 1. В прозрачном режиме она не используется и поэтому установлена на 0.
- Maximum VLANs supported locally (максимальное количество локальных сетей, поддерживаемых локально): максимальное количество сетей VLAN, поддерживаемых коммутатором. Зависит от типа переключателя (здесь 2960)
- Number of existing VLANs (количество существующих VLAN): количество VLAN, присутствующих в коммутаторе (по умолчанию присутствуют VLAN 1, от 1002 до 1005, поэтому = 5)
- VTP Operating Mode (режим работы VTP): сервер, клиент или прозрачный
- VTP Domain Name (имя домена VTP): имя «группы друзей»
- VTP Pruning Mode (режим обрезки VTP): активация или деактивация функции обрезки
- VTP V2 Mode (режим VTP V2): здесь мы можем проверить, активирована ли версия 2 (или версия 3, если коммутатор ее поддерживает)
- VTP Traps Generation (генерация ловушек VTP): позволяет отправлять SNMP-ловушки на сервер, чтобы уведомить администраторов об изменении уровня VTP (например, при создании VLAN)
- MD5 digest (дайджест MD5): отображает хэш предыдущего пароля (в нашем примере cisco123)
- Configuration last modified by (последнее изменение конфигурации): отображает последний коммутатор, который внес изменения в VLAN (в сети может быть несколько серверов коммутаторов)
Пример настройки
Мы хотим выполнить следующие действия:
- активировать режим сервера на switch_A и режим клиента на switch_B
- активировать версию 2 на switch_A и switch_B
- определить домен VTP = TEST
- создать VLAN 3 и 4 на switch_A
- проверить функциональность
Конфигурация свитча_A:
switch_A(config) # vtp mode server
Setting device to VTP SERVER mode.
switch_A(config) # vtp version 2
switch_A(config) # vtp domain TEST
Changing VTP domain name from NULL to TEST
switch_A(config) # vlan 3
switch_A(config-vlan) # exit
switch_A(config) # vlan 4
switch_A(config-vlan) # exit
switch_A(config) #
Конфигурация свитча_B:
Перед физическим подключением свитча_B к свитчу_A переключаемся в прозрачный режим, чтобы обнулить его RN, прежде чем переключить его обратно в режим клиента.
Теперь можно настроить свитч_B с запрошенными параметрами VTP:
switch_B(config) # vtp version 2
Cannot modify version in VTP client mode
switch_B(config) # vtp domain TEST
Changing VTP domain name from NULL to TEST
Проверка конфигурации VTP на двух коммутаторах:
На свитч_A:
На свитч_B:
Просмотреть отправленные или полученные сообщения можно с помощью следующей команды:
switch_A # show vtp counters
VTP statistics:
Summary advertisements received : 9
Subset advertisements received : 5
Request advertisements received : 1
Summary advertisements transmitted : 10
Subset advertisements transmitted : 7
Request advertisements transmitted : 1
Number of config revision errors : 3
Number of config digest errors : 1
Number of V1 summary errors : 0
Для дополнительной безопасности нужно быть очень осторожным при использовании протокола VTP и его эквивалентов на роутере. Оптимальный вариант - следить за тем, чтобы данный протокол не был активирован без необходимости.
